خطير في JetBrains TeamCity

خلل خطير في JetBrains TeamCity قد يكشف كود المصدر.

خلل خطير في JetBrains TeamCity قد يكشف كود المصدر. اكتشف باحثون أمنيون ثغرة أمنية خطيرة في برنامج JetBrains TeamCity CI/CD، والتي يمكن أن يستغلها المهاجمون غير المصادقين لتنفيذ الكود عن بعد على الأنظمة المتأثرة.

تتمتع الثغرة، التي تم تتبعها باسم CVE-2023-42793، بدرجة CVSS تبلغ 9.8 وتم معالجتها في إصدار TeamCity 2023.05.4 بعد الإفصاح المسؤول في 6 سبتمبر 2023.

وقال باحث الأمن في شركة Sonar، ستيفان شيلر، في تقرير الأسبوع الماضي: “يمكن للمهاجمين الاستفادة من هذا الوصول لسرقة الكود المصدري وسرقة الخدمات والمفاتيح الخاصة، والسيطرة على وكلاء البناء المرتبطين، وتسميم نتائج البناء”.

يمكن أن يسمح الاستغلال الناجح للثغرة أيضًا للجهات الفاعلة المهددة بالوصول إلى خطوط أنابيب البناء وحقن كود عشوائي، مما يؤدي إلى خرق للنزاهة واختراق سلسلة التوريد.

تم حجب التفاصيل الإضافية للثغرة نظرًا لحقيقة أنه من السهل استغلالها. حيث أشارت شركة Sonar إلى أنه من المحتمل أن يتم استغلالها في البرية من قبل الجهات الفاعلة المهددة.

أوصت JetBrains. في استشارة مستقلة. المستخدمين بالترقية في أقرب وقت ممكن. كما أصدرت مكونًا إضافيًا لتصحيح أمان لإصدارات TeamCity 8.0 وما فوق لمعالجة الثغرة بشكل محدد.

يأتي الكشف بعد الكشف عن ثغرتين شديدتين الخطورة في منتجات Atos Unify OpenScape تسمح لمهاجم ذو امتيازات منخفضة بتنفيذ أوامر أنظمة تشغيل عشوائية كجذر مستخدم (CVE-2023-36618) بالإضافة إلى مهاجم غير مصادق للوصول وتنفيذ نصوص تكوين مختلفة (CVE-2023-36619).

تم تصحيح الثغرات من قبل Atos في يوليو 2023.

خلال الأسابيع القليلة الماضية. نشر Sonar أيضًا تفاصيل حول ثغرات أمنية خطيرة في نصوص عبر مواقع (XSS) تؤثر على حلول البريد الإلكتروني المشفر. بما في ذلك Proton Mail و Skiff و Tutanota. والتي كان من الممكن تسليحها لسرقة رسائل البريد الإلكتروني وانتحال شخصية الضحايا.

توصيات:

  • قم بتحديث برنامج JetBrains TeamCity إلى الإصدار 2023.05.4 أو الأحدث.
  • تثبيت مكون تصحيح أمان TeamCity إذا كنت تستخدم إصدارًا أقدم من 8.0.
  • قم بتحديث منتجات Atos Unify OpenScape الخاصة بك إلى أحدث إصدار.
  • كن على دراية بالثغرات الأمنية في حلول البريد الإلكتروني المشفر واتخذ خطوات لتأمين حسابك.

خلل خطير في JetBrains TeamCity قد يكشف كود المصدر. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.