Une faille dans JetBrains TeamCity ?

La faille, répertoriée sous le nom de CVE-2023-42793, a un score CVSS de 9.8 et a été corrigée dans la version 2023.05.4 de TeamCity suite à une divulgation responsable le 6 septembre 2023.

« Les attaquants pourraient tirer parti de cet accès pour voler le code source, les secrets de service et les clés privées, prendre le contrôle des agents de construction attachés et empoisonner les artefacts de construction », a déclaré Stefan Schiller, chercheur en sécurité chez Sonar, dans un rapport publié la semaine dernière.

Une exploitation réussie du bogue pourrait également permettre à des acteurs menaçants d’accéder aux pipelines de construction et d’injecter du code arbitraire, ce qui entraînerait une atteinte à l’intégrité et une compromission de la chaîne d’approvisionnement.

D’autres détails sur le bogue n’ont pas été divulgués en raison de son exploitation triviale, Sonar notant qu’il est probable que des acteurs menaçants l’utilisent à des fins militaires dans la nature.

JetBrains, dans un avis indépendant, a recommandé aux utilisateurs de mettre à jour leur système dès que possible. Il a également publié un plugin de correctif de sécurité pour les versions 8.0 et supérieures de TeamCity afin de remédier spécifiquement à la faille.