JetBrains TeamCity sürekli entegrasyon ve sürekli dağıtım (CI/CD) yazılımındaki kritik bir güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından, etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak için kullanılabilir.
Kusur şu şekilde izlendi: CVE-2023-42793CVSS puanı 9,8’dir ve şu adreste ele alınmıştır: TeamCity sürümü 2023.05.4 6 Eylül 2023’teki sorumlu açıklamanın ardından.
Sonar güvenlik araştırmacısı Stefan Schiller, “Saldırganlar bu erişimden yararlanarak kaynak kodunu, hizmet sırlarını ve özel anahtarları çalabilir, bağlı yapı aracıları üzerinde kontrolü ele geçirebilir ve yapı eserlerini zehirleyebilir.” söz konusu geçen hafta bir raporda.
Hatanın başarılı bir şekilde kullanılması, tehdit aktörlerinin derleme hatlarına erişmesine ve rastgele kod eklemesine de olanak tanıyarak bütünlük ihlaline ve tedarik zincirinde tavizlere yol açabilir.
İstismar edilmesinin önemsiz olması nedeniyle hatayla ilgili ek ayrıntılar gizlendi; Sonar, bunun tehdit aktörleri tarafından vahşi ortamda istismar edilmesinin muhtemel olduğunu belirtti.
JetBrains, bağımsız danışmanlık, kullanıcılara mümkün olan en kısa sürede yükseltme yapmalarını önerdi. Ayrıca, özellikle kusuru gidermek amacıyla TeamCity 8.0 ve üzeri sürümler için bir güvenlik yaması eklentisi de yayınladı.
Açıklama şu şekilde geliyor iki yüksek önem dereceli kusur Atos Unify OpenScape ürünlerinde, düşük ayrıcalıklı bir saldırganın kök kullanıcı olarak rastgele işletim sistemi komutlarını yürütmesine (CVE-2023-36618) ve ayrıca kimliği doğrulanmamış bir saldırganın çeşitli yapılandırma komut dosyalarına (CVE-2023-) erişmesine ve bunları yürütmesine izin verdiği ortaya çıktı. 36619).
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Kusurlar şunlardı: yamalı Temmuz 2023’te Atos tarafından.
Geçtiğimiz birkaç hafta içinde Sonar, kritik siteler arası komut dosyası çalıştırmayla ilgili ayrıntıları da yayınladı (XSS) şifrelenmiş e-posta çözümlerini etkileyen güvenlik açıkları; Proton Postası, KikVe Tutanotae-postaları çalmak ve kurbanların kimliğine bürünmek için silah olarak kullanılabilirdi.