JetBrains a publié des mises à jour corrigeant une vulnérabilité critique (CVE-2024-27198) affectant JetBrains TeamCity On-Premises. La vulnérabilité est activement exploitée et a un score CVSSv3 (Common Vulnerability Scoring System) de 9,8 sur 10.

L'exploitation réussie de la vulnérabilité de contournement de l'authentification pourrait permettre à un attaquant non authentifié ayant un accès HTTP(S) à un serveur TeamCity d'exécuter du code à distance et d'obtenir un contrôle administratif sur le serveur compromis.

La vulnérabilité affecte les versions de TeamCity On-Premises antérieures à 2023.11.4.

Il est conseillé aux utilisateurs des versions affectées de les mettre à jour immédiatement vers la dernière version.

Annexe  

• https://blog.jetbrains.com/teamcity/2024/03/investigating-a-compromised-teamcity-on-premises-server/
• https://www.dgssi.gov.ma/fr/bulletins/vulnerabilites-critiques-dans-jetbrains-teamcity