TeamCity

Die Schwachstelle betrifft JetBrains TeamCity, einen Server zur kontinuierlichen Integration und Auslieferung von Software (CI/CD). Im Kern handelt es sich um einen relativen Verzeichniswechsel (Path Traversal): Durch geschickt manipulierte Pfadangaben kann ein Angreifer die vorgesehene Verzeichnisstruktur verlassen und auf Bereiche zugreifen, die eigentlich nicht erreichbar sein sollten. Auf diesem Weg lassen sich bestimmte administrative Aktionen auf dem Server auslösen, ohne dazu berechtigt zu sein. Der Zugriff ist dabei nicht uneingeschränkt: Es können nur einige wenige Verwaltungsfunktionen missbraucht werden, nicht der volle administrative Funktionsumfang. Da TeamCity zentral den Bau und die Auslieferung von Software steuert und häufig an Quellcode-Verwaltung sowie Bereitstellungsumgebungen angebunden ist, ist ein solcher Server ein attraktives Ziel: Schon eingeschränkte Eingriffsmöglichkeiten in die Verwaltung können die Integrität der dort verarbeiteten Entwicklungs- und Auslieferungsprozesse gefährden.