Una vulnerabilidad de seguridad crítica en el software de integración continua e implementación continua (CI/CD) de JetBrains TeamCity podría ser aprovechada por atacantes no autenticados para lograr la ejecución remota de código en los sistemas afectados.
El defecto, rastreado como CVE-2023-42793tiene una puntuación CVSS de 9,8 y se ha abordado en TeamCity versión 2023.05.4 tras la divulgación responsable el 6 de septiembre de 2023.
«Los atacantes podrían aprovechar este acceso para robar el código fuente, secretos de servicio y claves privadas, tomar el control de los agentes de construcción adjuntos y envenenar los artefactos de construcción», dijo el investigador de seguridad de Sonar, Stefan Schiller. dicho en un informe la semana pasada.
La explotación exitosa del error también podría permitir que los actores de amenazas accedan a los canales de construcción e inyecten código arbitrario, lo que provocaría una violación de la integridad y comprometería la cadena de suministro.
Se han ocultado detalles adicionales sobre el error debido al hecho de que es trivial de explotar, y Sonar señaló que es probable que los actores de amenazas lo exploten en la naturaleza.
JetBrains, en un asesoramiento independiente, ha recomendado a los usuarios actualizar lo antes posible. También lanzó un complemento de parche de seguridad para TeamCity versiones 8.0 y superiores para abordar específicamente la falla.
La revelación surge como dos defectos de alta gravedad se han divulgado en los productos Atos Unify OpenScape que permiten a un atacante con pocos privilegios ejecutar comandos arbitrarios de sistemas operativos como usuario root (CVE-2023-36618), así como a un atacante no autenticado acceder y ejecutar varios scripts de configuración (CVE-2023- 36619).
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Los defectos fueron parcheado por Atos en julio de 2023.
Durante las últimas semanas, Sonar también ha publicado detalles sobre scripts críticos entre sitios (XSS) vulnerabilidades que afectan a las soluciones de correo electrónico cifrado, incluidas Correo de protones, Esquifey Tutanotaque podría haberse utilizado como arma para robar correos electrónicos y hacerse pasar por víctimas.