TeamCity

Die Schwachstelle betrifft TeamCity von JetBrains, einen Server zur Automatisierung von Software-Builds und zur kontinuierlichen Integration. Sie ermöglicht eine Umgehung der Authentifizierung: Ein Angreifer kann die Anmeldeprüfung umgehen und auf geschützte Funktionen zugreifen, ohne sich gültig anmelden oder ein Konto besitzen zu müssen. Dabei beschränkt sich der unautorisierte Zugriff nicht auf gewöhnliche Bedienschritte – der Angreifer kann administrative Aktionen ausführen und damit den Server faktisch kontrollieren. Weil ein TeamCity-Server zentral in der Entwicklungs- und Auslieferungskette steht und Zugriff auf Quellcode, Build-Prozesse sowie Anmeldedaten für nachgelagerte Systeme hat, ist die Übernahme besonders folgenreich: Über manipulierte Builds lässt sich Schadcode in die erzeugte Software einschleusen. Betroffen sind Betreiber, die einen eigenen TeamCity-Server einsetzen, insbesondere wenn dessen Weboberfläche aus dem Netz erreichbar ist.