JetBrains TeamCity に相対パストラバーサルの脆弱性(CVE-2024-27199)— 開発自動化サーバを狙う既知悪用、ランサム悪用も確認
ソフトのビルド・配布を自動化するCI/CDサーバ「JetBrains TeamCity」に、想定外のパスへアクセスさせる相対パストラバーサルの脆弱性が見つかり、限定的な管理操作につながりうるとして米CISAの既知悪用脆弱性カタログ(KEV)に追加されました。
脆弱性の基本情報
- CVE番号CVE-2024-27199
- CVSS基本値7.3 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
- 対象(ベンダー/製品)JetBrains TeamCity
- CWECWE-23
- 悪用状況CISA KEV 掲載(実際の悪用を確認)/ランサムウェアでの悪用も確認
- 是正期限2026-05-04(米連邦民生機関・BOD 22-01)
要点
TeamCity は、書かれたソースコードを自動で組み立て(ビルド)、テストし、配布物として送り出す「CI/CD」と呼ばれる工程を担うサーバです。多くの組織で開発の中心に置かれ、ここを通った成果物が実際の製品やサービスとして利用者に届きます。つまり TeamCity のような基盤は、ソフトウェアが作られて配られるまでの流れ(ソフトウェアサプライチェーン)の要に位置します。本脆弱性は「相対パストラバーサル」と呼ばれ、これは入力されたパス指定を悪用して、本来アクセスを想定していない場所のファイルや機能に到達させてしまう類の欠陥です。
米CISAの既知悪用脆弱性カタログ(KEV)は、実際に攻撃で使われたことが確認された脆弱性を集めた公式の一覧です。本件は2026年4月20日にKEVへ追加され、ランサムウェア(データを暗号化・人質化して金銭を要求する攻撃)による悪用も確認済みと記録されています。NVDが公開する深刻度評価(CVSS v3.1)は7.3で「HIGH(高)」、ネットワーク経由で特別な権限や利用者操作なしに影響しうると整理されています。
開発自動化の基盤が狙われるのは近年よく見られる構図です。こうした基盤を通る配布物に不正なものが混入すれば、その先の多くの利用者に影響が及ぶおそれがあるためです。CISAは対応として、ベンダー(JetBrains)の指示に従った緩和の適用、米政府機関向け指令BOD22-01に基づく対処、緩和が適用できない場合は当該製品の使用中止を求めています。是正期限は2026年5月4日とされています。
なぜ重要か
CI/CDサーバは開発・配布の中核であり、ソフトウェアサプライチェーンの要に位置します。本脆弱性はKEVに追加され、ランサムウェアによる悪用も確認済みと記録されているため、TeamCity を運用する組織にとって優先度の高い管理対象です。配布物への影響が広範囲に及びうる点から、資産棚卸しと、ベンダー指示に沿った計画的な対処の検討が求められます。
よくある質問(FAQ)
TeamCity とは何ですか。
相対パストラバーサルとはどういう欠陥ですか。
CISAはどのような対応を求めていますか。
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。