https://blog.qife122.com/tags/jetbrains-teamcity/ Recent content in JetBrains TeamCity on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 23:30:17 +0800 https://blog.qife122.com/p/cve-2025-68162jetbrains-teamcity-%E4%B8%AD%E7%9A%84cwe-829%E6%BC%8F%E6%B4%9E%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ Sun, 28 Dec 2025 23:30:17 +0800 https://blog.qife122.com/p/cve-2025-68162jetbrains-teamcity-%E4%B8%AD%E7%9A%84cwe-829%E6%BC%8F%E6%B4%9E%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ <h3 id="技术摘要">技术摘要</h3> <p>CVE-2025-68162是JetBrains TeamCity（一款流行的持续集成和持续部署服务器）中发现的漏洞，具体影响2025.11之前的版本。该问题源于Maven嵌入器组件，它不适当地允许通过项目配置文件加载扩展。此行为对应于CWE-829，即包含不受信任的代码或扩展，可能危及构建过程的完整性。拥有已认证高级权限的攻击者可以通过远程方式（网络向量）利用此漏洞，无需用户交互，通过操纵项目配置来加载恶意的Maven扩展。虽然CVSS评分较低（2.7），反映了对机密性和可用性的有限影响，但构建的完整性可能受到破坏，可能导致恶意代码被引入软件制品中。截至目前，尚无公开漏洞利用或主动利用的报告。该漏洞在使用TeamCity自动化软件构建和部署的环境中尤其相关，因为它可能促进供应链攻击或在构建管道内进行未经授权的代码执行。缺少补丁链接表明修复措施包括升级到JetBrains指出的已修复版本2025.11或更高版本。组织还应审查并收紧项目配置管理周围的权限，以防止未经授权的更改。</p>