Artem Godin

**Nome do software vulnerável e versões afetadas** Versões do JetBrains TeamCity anteriores à 2021.2 **Descrição** A vulnerabilidade permite a falsificação de solicitação do lado do servidor (SSRF) do tipo “blind” por meio de uma chamada XML-RPC. Isso significa que um invasor poderia forçar o servidor a enviar solicitações para destinos arbitrários, o que poderia levar à varredura da rede interna ou ao acesso a serviços não destinados à exposição pública. **Recomendações** Para versões anteriores à 2021.2, atualize para a versão 2021.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a chamadas XML-RPC até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains TeamCity anteriores à 2021.2 **Descrição** O problema está relacionado a um ataque de condição de corrida do tipo “Time-of-check/Time-of-use” (TOCTOU) no registro de agentes via XML-RPC. Esse tipo de ataque ocorre quando há um atraso entre o momento da verificação e o momento do uso de um recurso, permitindo que um invasor explore essa janela de oportunidade. **Recomendações** Para versões anteriores à 2021.2, atualize para a versão 2021.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de registro de agente via XML-RPC até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains TeamCity anteriores à 2021.2.1 **Descrição** A vulnerabilidade permite que um invasor não autenticado cancele compilações em execução por meio de uma solicitação XML-RPC ao servidor TeamCity. **Recomendações** Para versões anteriores à 2021.2.1, atualize para a versão 2021.2.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint XML-RPC para minimizar o risco de exploração.