Jetbrains安全公告Q4 2021
在2021年的第四季度,我们解决了我们产品中的一些安全问题。这是一个摘要报告,其中包含每个问题的描述和它已解决的版本。
| 产品 | 描述 | 严重程度 | 解决了 | CVE / CWE. |
| DatraLore. | 可以附上另一个用户的数据库(DL-9779) | 高的 | 不适用 | 不适用 |
| 中心 | Jetbrains帐户集成公开了具有过度权限的API键。Yurii Sanin报道(Hub-10958) | 高的 | 2021.1.13890. | CVE-2022-24327 |
| 中心 | 一个非特权的用户可以执行DOS。Yurii Sanin报道(Hub-10976) | 高的 | 2021.1.13956. | CVE-2022-24328 |
| intellij想法 | 未经用户在打开项目的许可(IDEA-243002,IDEA-277306,IDEA-282396,IDEA-27596,IDEA-275917)的情况下可以执行代码 | 中等的 | 2021.2.4 | CVE-2022-24345 |
| intellij想法 | 潜在的LCE通过RLO(左右覆盖)字符(IDEA-284150) | 中等的 | 2021.3.1. | CVE-2022-24346 |
| Jetbrains博客 | 盲目SQL注射。由汗·克尼尼报告(博客-5) | 中等的 | 不适用 | 不适用 |
| kotlin. | 没有能够锁定Kotlin Multiplatform Gradle项目的依赖项。卡特Jernigan报道(KT-49449) | 中等的 | 1.6.0 | CVE-2022-24329 |
| kotlin网站 | ClickJacking在Kotlinlang.org(KTL-588) | 中等的 | 不适用 | 不适用 |
| 远程开发 | 后端服务器上意外的打开端口。请参阅这个博客帖子有关其他详细信息。达米安GWIżDż(GTW-894)报道 | 高的 | 不是2021.3.1.1. | CVE-2021-45977 |
| 空间 | 在HTTP API响应中缺少权限检查(SPACE-15991) | 高的 | 不适用 | 不适用 |
| 队伍 | 可以重定向到外部站点(TW-71113) | 低的 | 2021.2.1. | CVE-2022-24330 |
| 队伍 | 注销无法删除“记住我”cookie(TW-72969) | 低的 | 2021.2. | CVE-2022-24332 |
| 队伍 | Gitlab认证冒充。Christian PedeSen报告(TW-73375) | 高的 | 2021.1.4 | CVE-2022-24331 |
| 队伍 | “代理推送”功能允许选择的服务器上的任何私钥(TW-73399) | 低的 | 2021.2.1. | CVE-2022-24334 |
| 队伍 | 通过XML-RPC呼叫盲目SSRF。Artem Godin报告(TW-73465) | 中等的 | 2021.2. | CVE-2022-24333 |
| 队伍 | 通过XML-RPC在代理注册中使用时间 - 检查时间/使用时间(toctou)漏洞。Artem Godin报道(TW-73468) | 高的 | 2021.2. | CVE-2022-24335 |
| 队伍 | 未经身份验证的攻击者可以通过XML-RPC请求取消运行构建对Teamcity Server。Artem Godin报告(TW-73469) | 中等的 | 2021.2.1. | CVE-2022-24336 |
| 队伍 | 未经适当的权限(TW-73516)向用户展示了拉出请求的健康项目 | 低的 | 2021.2. | CVE-2022-24337 |
| 队伍 | 存储XSS。Yurii Sanin报道(TW-73737) | 中等的 | 2021.2.1. | CVE-2022-24339 |
| 队伍 | URL注射导致CSRF。Yurii Sanin报道(TW-73859) | 中等的 | 2021.2.1. | CVE-2022-24342 |
| 队伍 | 更改密码未能终止编辑用户的会话(TW-73888) | 低的 | 2021.2.1. | CVE-2022-24341 |
| 队伍 | 解析配置文件期间XXE(TW-73932) | 中等的 | 2021.2.1. | CVE-2022-24340 |
| 队伍 | 反射XSS(TW-74043) | 中等的 | 2021.2.1. | CVE-2022-24338 |
| 队伍 | 在通知模板页面上存储XSS(JT-65752))) | 低的 | 2021.4.31698 | CVE-2022-24344 |
| youtrack. | 可以使用只读权限设置自定义徽标(JT-66214) | 低的 | 2021.4.31698 | CVE-2022-24343 |
| youtrack. | 通过项目图标存储XSS。Yurii Sanin报道(JT-67176) | 中等的 | 2021.4.36872 | CVE-2022-24347 |
如果您需要任何进一步的帮助,请联系我们安全团队。
订阅收到邮箱中的公告。
你的Jetbrains团队
开发的驱动器
