Uma vulnerabilidade crítica de segurança no software de integração contínua e implantação contínua (CI/CD) JetBrains TeamCity pode ser explorada por invasores não autenticados para atingir a execução remota de código em sistemas afetados.
A falha, rastreada como
CVE-2023-42793
, recebeu uma pontuação CVSS de 9.8 e foi abordada na versão 2023.05.4 do TeamCity, após uma divulgação responsável em 6 de setembro de 2023.
"Os invasores poderiam tirar proveito desse acesso para roubar código-fonte, segredos de serviço e chaves privadas, tomar controle sobre agentes de compilação conectados e envenenar artefatos de compilação", disse o pesquisador de segurança da Sonar, Stefan Schiller, em um relatório na semana passada.
A exploração bem sucedida do bug também poderia permitir a atores de ameaças acessar as pipelines de compilação e injetar código arbitrário, levando a uma violação de integridade e comprometimentos na cadeia de fornecimento.
Detalhes adicionais do bug foram retidos devido ao fato de ser trivial de explorar, com a Sonar observando que é provável que seja explorado por atores de ameaças no mundo real.
A JetBrains, em um comunicado independente, recomendou aos usuários que atualizem o mais rápido possível.
Também lançou um plugin de correção de segurança para as versões do TeamCity 8.0 e superiores para endereçar especificamente a falha.
A divulgação ocorre depois que duas falhas de alta severidade foram reconhecidas nos produtos Atos Unify OpenScape que permitem a um invasor de baixo privilégio executar comandos arbitrários do sistema operacional como usuário root (
CVE-2023-36618
), bem como a um invasor não autenticado para acessar e executar vários scripts de configuração (
CVE-2023-36619
).
As falhas foram corrigidas pela Atos em julho de 2023.
Nas últimas semanas, a Sonar também publicou detalhes sobre vulnerabilidades críticas de cross-site scripting (XSS) que afetam soluções de email criptografadas, incluindo Proton Mail, Skiff, e Tutanota, que poderiam ter sido utilizadas para roubar emails e se passar pelas vítimas.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...