آسیب‌پذیری دور زدن احراز هویت در JetBrains

آسیب‌پذیری دور زدن احراز هویت در JetBrains

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-36470 و شدت بالا در محصول JetBrains TeamCity امکان دور زدن احراز هویت در specific edge را برای مهاجم احراز هویت نشده فراهم می‌آورد. این آسیب‌پذیری در برخی سناريوهای خاص، حتی با وجود نصب وصله امنیتی مرتبط، قابل بهره‌برداری است. در این آسیب‌پذیری محرمانگی، یکپارچگی و در دسترس‌پذیری تحت تأثیر قرار می‌گیرند.

بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H، بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و پیچیدگی حمله بالا می‌باشد (AC:H)، مهاجم برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط هر سه ضلع امنیت به میزان بالایی تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت تأثیر
این آسیب‌پذیری JetBrains TeamCity نسخه‌های قبل از 2022.04.6، 2022.10.5، 2023.05.5 و 2023.11.5 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء نسخه‌های آسیب‌پذیر JetBrains TeamCity به نسخه‌های وصله‌شده اقدام نمایند.

منبع خبر:


https://www.jetbrains.com/privacy-security/issues-fixed/