JetBrains Security Bulletin Q3 2019 - JetBrains опублікувала список виправлених вразливостей
JetBrains Security Bulletin Q3 2019 - JetBrains опублікувала список виправлених уразливостей
У 3-му кварталі JetBrains виправила у своїх продуктах такі вразливості:
Here's summary report that contains a description of issue and the version in which it was resolved.
Product | Description | Severity | Resolved in | CVE/CWE |
Hub | Username enumeration був можливим через password recovery. (JPS-9655, JPS-9938) | Note | 2019.1.11738 | CVE-2019-18360 |
IntelliJ IDEA | Local user privilege escalation потенційно дозволяється arbitrary code execution. (IDEA-216623) | Low | 2019.2 | CVE-2019-18361 |
JetBrains Account | Аккаунт removal without-reauthentication бувможливий. (JPF-9611 reported by Siamul Islam) | Moderate | 2019.9 | CWE-306 |
JetBrains Account | Password reset link був не вvalidated при password change через profile. (JPF-9610 reported by Elliot V. Daniel) | Moderate | 2019.8 | CWE-613 |
MPS | Ports розраховані на MPS є додані до мережі. (MPS-30661) | Low | 2019.2.2 | CVE-2019-18362 |
TeamCity | Access може бути витрачений на історію будівельних установок, з'єднаний будовою configuration за деякими circumstances. (TW-60957) | Moderate | 2019.1.2 | CVE-2019-18363 |
TeamCity | Insecure Java Deserialization може потенційно дозволити RCE. (TW-61928 reported by Aleksei "GreenDog" Tiurin) | Moderate | 2019.1.4 | CVE-2019-18364 |
TeamCity | Reverse tabnabbing був можливим на several pages. (TW-61323, TW-61725, TW-61726, TW-61646, TW-62123) | Low | 2019.1.4 | CVE-2019-18365 |
TeamCity | Секретні значення можуть бути exposed to users with the 'View build runtime parameters and data' permission. | Low | 2019.1.2 | CVE-2019-18366 |
TeamCity | Для недисциплінарної діяльності можна використовувати як користувача без відповідних змін. (TW-61107) | Low | 2019.1.2 | CVE-2019-18367 |
Toolbox App | Перевірка escalation була можлива в програмі JetBrains Toolbox App для Windows. (TBX-3759) | Low | 1.15.5666 | CVE-2019-18368 |
YouTrack | Під час arbitrary spam email від YouTrack instance was possible. (JT-54136, ADM-13823, ADM-34971) | Low | No applicable | CWE-285 |
YouTrack | Removing tags from issues list without corresponding permission was possible. (JT-53465) | Low | 2019.2.55152 | CVE-2019-18369 |