Jetbrains安全公告Q2 2020
在2020年的第二季度,我们解决了我们产品中的一些安全问题。这是一个摘要报告,其中包含每个问题的描述和它已解决的版本。
| 产品 | 描述 | 严重程度 | 解决 | CVE / CWE. |
| DatraLore. | 堆栈跟踪披露。(DL-7350) | 低的 | 不适用 | CWE-536. |
| DatraLore. | 反向Tabnabbing是可能的。(DL-7708) | 低的 | 不适用 | CWE-1022 |
| 码头账户 | 如果启用了2FA,则缺少用于重置密码功能的限制。由Manu Pranav报道。(JPF-10527) | 中等的 | 2020.06 | CWE-799 |
| Jetbrains网站 | 堆栈跟踪披露,以便在要求不正确的字符的情况下。(JS-12490) | 低的 | 不适用 | CWE-536. |
| Jetbrains网站 | 在Jetbrains.com子域上反映了XSS。Ritik Chaddha报道。(JS-12562) | 低的 | 不适用 | CWE-79. |
| Jetbrains网站 | Kotlinconf.com上的开放式重定向问题。Ritik Chaddha报道。(JS-12581) | 低的 | 不适用 | CWE-601. |
| Jetbrains网站 | 在不存在的页面上可以点击键。普拉维斯报道ranjan kanungo。(JS-12835) | 低的 | 不适用 | CWE-1021. |
| youtrack. | 子任务工作流可以披露问题的存在。(JT-45316) | 低的 | 2020.2.8527. | CVE-2020-15818 |
| youtrack. | 外部用户可以针对任意问题执行命令。(JT-56848) | 高的 | 2020.1.1331 | CVE-2020-15817 |
| youtrack. | SSRF漏洞允许扫描内部端口。EvrenYalçın报道。(JT-56917) | 低的 | 2020.2.10643 | CVE-2020-15819. |
| youtrack. | 可以将一个重定向从任何现有的YouTrack InCloud实例更改为另一个实例。(jt - 57036) | 中等的 | 2020.1.3588 | CWE-601. |
| youtrack. | 标记解析器可以揭示隐藏文件的存在。(jt - 57235) | 低的 | 2020.2.6881 | CVE-2020-15820 |
| youtrack. | 没有适当权限的用户可以创建一个文章草案。(JT-57649) | 中等的 | 2020.2.6881 | CVE-2020-15821 |
| youtrack. | YouTrack的AWS元数据在工作流程中通过SSRF披露。Yurii Sanin报道。(JT-57964) | 高的 | 2020.2.8873 | CVE-2020-15823 |
| youtrack. | SSRF是可能的,因为URL过滤可以转义。Yurii Sanin报道。(JT-58204) | 低的 | 2020.2.10514 | CVE-2020-15822 |
| kotlin. | 脚本缓存权限升级漏洞。Henrik Tunedal报道。(KT-38222) | 中等的 | 1.4.0 | CVE-2020-15824 |
| 空间 | 向用户披露所有权的草案,没有进入草案。(SPACE-5594) | 低的 | 不适用 | CWE-200. |
| 空间 | 缺少授权检查导致权限升级。由Callum Carney报道。(Space-8034) | 高的 | 不适用 | CWE-266. |
| 空间 | 通过日历导入盲SSRF。Yurii Sanin报道。(空间- 8273) | 中等的 | 不适用 | CWE-918 |
| 空间 | 可以将从iOS应用程序发送的直接邮件的草稿发送到通道。(Space-8377) | 低的 | 不适用 | CWE-200. |
| 空间 | 聊天消息传播到浏览器控制台。(空间- 8386) | 高的 | 不适用 | CWE-215. |
| 空间 | 缺少空间自动化的身份验证检查。(Space-8431) | 危急 | 不适用 | CWE-306. |
| 空间 | 缺少职位相关API的身份验证检查。(Space-8822) | 低的 | 不适用 | CWE-306. |
| 空间 | 对公钥内容的检查不正确。(Space-9169) | 中等的 | 不适用 | CWE-287. |
| 空间 | 通过存储库资源存储XSS。(Space-9277) | 高的 | 不适用 | CWE-79. |
| 工具箱应用程序 | “Jetbrains-Toolbox.exe”缺少签名。(TBX-4671) | 低的 | 1.17.6856 | CVE-2020-15827 |
| 队伍 | 用户可以分配比他们的更多权限。(TW-36158) | 低的 | 2020.1 | CVE-2020-15826 |
| 队伍 | 具有“修改组”权限的用户可以提升其他用户的权限。(tw - 58858) | 中等的 | 2020.1 | CVE-2020-15825 |
| 队伍 | 密码参数可以通过构建日志公开。(TW-64484) | 低的 | 2019.2.3. | CVE-2020-15829 |
| 队伍 | 可以在没有适当的权限的情况下由用户检索项目参数值。(TW-64587) | 高的 | 2020.1.1 | CVE-2020-15828 |
| 队伍 | 在管理UI上反映了XSS。(TW-64668) | 高的 | 2019.2.3. | CVE-2020-15831. |
| 队伍 | 在管理用户界面上存储XSS。(tw - 64699) | 高的 | 2019.2.3. | CVE-2020-15830 |
| upsource. | 未经授权的访问可能是通过一个错误的帐户链接。(sdp - 940) | 低的 | 2020.1 | CVE-2019-19704 |
如果您需要任何进一步的帮助,请联系我们安全团队。
订阅收到邮箱中的公告。
你的Jetbrains团队
开发的驱动器
