[Actualización 08/03/2024] Múltiples vulnerabilidades en JetBrains TeamCity On-Premises
TeamCity On-Premises, todas las versiones hasta 2023.11.3.
Stephen Fewer, investigador de seguridad de Rapid7, descubrió en febrero de 2024 dos vulnerabilidades, una de severidad crítica y otra alta, que reportó al fabricante JetBrains. Ambas vulnerabilidades son de tipo omisión de autenticación.
Actualizar manualmente TeamCity On-Premises a la versión 2023.11.4, o emplear la opción de actualización automática.
En caso de no actualizar a la versión correctora, JetBrains ha publicado un parche de seguridad para versiones de TeamCity 2018.2 y posteriores, o 2018.1 y anteriores.
Los servidores TeamCity Cloud ya han sido actualizados.
Vulnerabilidad crítica de omisión de autenticación en el componente web de TeamCity originado por un problema de ruta alternativa. Se ha asignado el identificador CVE-2024-27198 para esta vulnerabilidad.
[Actualización 08/03/2024] CISA ha añadido esta vulnerabilidad a su catálogo KEV (Known Exploited Vulnerabilities), basado en pruebas de explotación activa de la misma.- Vulnerabilidad alta de path traversal que podría permitir la realización de acciones administrativas limitadas. Se ha asignado el identificador CVE-2024-27199 para esta vulnerabilidad.
