- شناسه CVE-2025-54536 :CVE
- CWE-352 :CWE
- yes :Advisory
- منتشر شده: جولای 28, 2025
- به روز شده: جولای 28, 2025
- امتیاز: 5.4
- نوع حمله: Cross Site Request Forgery-CSRF
- اثر گذاری: Unknown
- حوزه: برنامه نویسی
- برند: JetBrains
- محصول: TeamCity
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در JetBrains TeamCity نسخههای قبل از 2025.07 شناسایی شده است. این آسیب پذیری امکان حمله جعل درخواست بین سایتی (CSRF) در اِندپوینت GraphQL را فراهم میکند.
توضیحات
آسیبپذیری CVE-2025-54536 به دلیل عدم محافظت کافی در برابر حملات جعل درخواست بینسایتی (CSRF) در اندپوینت GraphQLاست و به مهاجمان اجازه میدهد با فریب کاربران برای انجام اقدامات ناخواسته از طریق درخواستهای جعلی، دسترسی غیرمجاز به سیستم پیدا کرده یا تغییراتی ایجاد کنند. این آسیب پذیری محرمانگی و یکپارچگی سیستم را تحت تأثیر قرار میدهد. بهرهبرداری از آن نیازمند تعامل کاربر بوده و میتواند از راه دور انجام شود، اما نیازی به دسترسی اولیه یا احراز هویت ندارد. این آسیب پذیری در نسخه 2025.07 پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 before 2025.07 | TeamCity |
لیست محصولات بروز شده
| Versions | Product |
| 2025.07 | TeamCity |
نتیجه گیری
به کاربران توصیه میشود در اسرع وقت JetBrains TeamCity را به نسخه 2025.07 یا بالاتر بهروزرسانی کنند. همچنین، فعالسازی مکانیزم محافظت در برابر CSRF و بررسی لاگها جهت شناسایی فعالیتهای مشکوک توصیه میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-54536
- https://www.cvedetails.com/cve/CVE-2025-54536/
- https://www.jetbrains.com/privacy-security/issues-fixed/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54536
- https://vuldb.com/?id.317947
- https://nvd.nist.gov/vuln/detail/CVE-2025-54536
- https://cwe.mitre.org/data/definitions/352.html
