JetBrains安全公告Q1 2021
在2021年的第一季度,我们解决了我们产品中的一些安全问题。这是一个摘要报告,其中包含每个问题的描述和它已解决的版本。
| 产品 | 描述 | 严重程度 | 解决了 | CVE / CWE |
| 代码与我 | 客户端可以以只读模式执行代码(CWM-1235) | 中等的 | 兼容IDES 2021.1版本 | CVE-2021-31899 |
| 代码与我 | 客户端可以在主机上打开浏览器(CWM-1769) | 低的 | 兼容IDES 2021.1版本 | CVE-2021-31900. |
| 例外分析仪 | 除例外分析仪登录页面上没有限制。Ashhad Ali报道(exa-760) | 低的 | 不适用 | 不适用 |
| intellij想法 | 许可证服务器功能中的XXE。Reef Spektor报告(IDEA-260143) | 高的 | 2020.3.3 | CVE-2021-30006 |
| intellij想法 | 没有用户确认的代码执行对于不受信任的项目(IDEA-260911,IDEA-260912,IDEA-260913,IDEA-261851,IDEA-262917,IDEA-263981,IDEA-264782)可能是可能的 | 中等的 | 2020.3.3 | CVE-2021-29263 |
| intellij想法 | 可能的DOS。Arun Malik报道(IDEA-261832) | 中等的 | 2021.1. | CVE-2021-30504 |
| Jetbrins Academy. | 具有已知电子邮件地址的未来帐户的潜在潜在收购。vansh dovgan(JBA-110)报道 | 低的 | 不适用 | 不适用 |
| 码头账户 | 敏感帐户URL与第三方共享。Vikram Naidu报道(JPF-11338) | 高的 | 2021.02 | 不适用 |
| 码头网站 | 在www.glenndubin.com上反映了XSS。Peter AF Geijerstam和Jai Kumar报道(JS-14554,JS-14562)报道 | 低的 | 不适用 | 不适用 |
| 中心 | “所有用户”组(JPS-10694)未正确启用双因素身份验证 | 低的 | 2021.1.13079. | CVE-2021-31901 |
| youtrack. | 通过附加文件存储XSS。Mikhail Klyuchnikov(JT-62530)报道 | 中等的 | 2020.6.6441. | CVE-2021-27733 |
| youtrack. | 拉出请求标题是不充分的消毒(JT-62556) | 中等的 | 2021.1.9819. | CVE-2021-31903 |
| youtrack. | 导出问题时不正确的访问控制(JT-62649) | 高的 | 2020.6.6600 | CVE-2021-31902 |
| youtrack. | 发行预览中的信息披露。Philip Wedemann(JT-62919)报道 | 高的 | 2020.6.8801. | CVE-2021-31905 |
| Pycharm. | 没有用户确认的代码执行对于不受信任的项目可能。Tony Torralba报道(PY-41524) | 中等的 | 2020.3.4 | CVE-2021-30005 |
| 空间 | 用户输入中的CRLF Sunitization不足(SPACE-13955) | 低的 | 不适用 | 不适用 |
| 队伍云 | 经由EC2实例元数据(TCC-174,TCC-176)的潜在信息披露 | 低的 | 不适用 | 不适用 |
| 队伍云 | 临时凭证通过命令注入泄露。克里斯摩尔报道(TCC-196) | 主要的 | 不适用 | 不适用 |
| 队伍 | 测试历史页面上的潜在XSS(TW-67710) | 中等的 | 2020.2.2 | CVE-2021-31904 |
| 队伍 | Teamcity Intellij插件DOS。Jonathan Leitschuh报告(TW-69070) | 低的 | 2020.2.2 | CVE-2021-26310 |
| 队伍 | 通过TeamCity Intellij插件中的临时文件披露本地信息披露。Jonathan Leitschuh报告(TW-69420) | 低的 | 2020.2.2 | CVE-2021-26309 |
| youtrack. | 管理员上传文件时不足(TW-69511) | 低的 | 2020.2.2 | CVE-2021-31906 |
| 队伍 | 更改Teamcity插件的不正确的权限检查(TW-69521) | 低的 | 2020.2.2 | CVE-2021-31907 |
| 队伍 | 测试页上的潜在XSS。斯蒂芬补丁报告(TW-69737) | 低的 | 2020.2.2 | CVE-2021-3315 |
| 队伍 | 参数注射导致RCE(TW-70054) | 高的 | 2020.2.3 | CVE-2021-31909 |
| 队伍 | 在几页上存储XSS(TW-70078,TW-70348) | 中等的 | 2020.2.3 | CVE-2021-31908 |
| 队伍 | 通过SSRF(TW-70079)信息披露 | 高的 | 2020.2.3 | CVE-2021-31910 |
| 队伍 | 在几页上反映了XSS(TW-70093,TW-70094,TW-70095,TW-70096,TW-70137) | 中等的 | 2020.2.3 | CVE-2021-31911 |
| 队伍 | 密码重置期间的潜在账户收购(TW-70303) | 中等的 | 2020.2.3 | CVE-2021-31912 |
| 队伍 | GitHub SSO令牌交换期间redirect_uri的检查不足(TW-70358) | 低的 | 2020.2.3 | CVE-2021-31913 |
| 队伍 | 在Windows上运行的Teamcity服务器上的任意代码执行。Chris Moore报道(TW-70512) | 高的 | 2020.2.4 | CVE-2021-31914 |
| 队伍 | 指挥注射导致RCE。Chris Moore报道(TW-70541) | 高的 | 2020.2.4 | CVE-2021-31915 |
| upsource. | 应用程序密码未正确撤消。由Thibaut Zonca报告(UP-10843) | 高的 | 2020.1.1883 | CVE-2021-30482 |
| WebStorm. | 使用HTTP请求而不是HTTPS(Web-49549) | 低的 | 2021.1. | CVE-2021-31898 |
| WebStorm. | 没有用户确认的代码执行对于不受信任的项目可能进行(Web-49689,Web-49902) | 低的 | 2021.1. | CVE-2021-31897 |
如果您需要任何进一步的帮助,请联系我们安全团队。
订阅收到邮箱中的公告。
你的Jetbrains团队
开发的驱动器
