آسیبپذیری با شناسه CVE-2024-36470 و شدت بالا در محصول JetBrains TeamCity امکان دور زدن احراز هویت در specific edge را برای مهاجم احراز هویت نشده فراهم میآورد. این آسیبپذیری در برخی سناريوهای خاص، حتی با وجود نصب وصله امنیتی مرتبط، قابل بهرهبرداری است. در این آسیبپذیری محرمانگی، یکپارچگی و در دسترسپذیری تحت تأثیر قرار میگیرند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H، بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و پیچیدگی حمله بالا میباشد (AC:H)، مهاجم برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط هر سه ضلع امنیت به میزان بالایی تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
این آسیبپذیری JetBrains TeamCity نسخههای قبل از 2022.04.6، 2022.10.5، 2023.05.5 و 2023.11.5 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء نسخههای آسیبپذیر JetBrains TeamCity به نسخههای وصلهشده اقدام نمایند.
منبع خبر:
- 62