TeamCity On-Premises 2025.07 Help

TeamCity 2023.05.6 版本发布说明

构建:129475

2024 年 5 月 30 日

错误

TW-87765 — 子项目管理员无法查看父项目的 NuGet 源和 Artifact 存储设置

TW-87750 — 拥有 Project Administrator 角色的用户无法查看 NuGet 源

TW-86261 — 回归:java.lang.InstantiationException:在范围内未找到 bean bean;处理请求时

TW-83663 — REST API - 当与 "property:(name:XYZ)" 结合使用时,带有 "failedToStart:true" 的构建不会出现在响应中

TW-85625 — Perforce:收集更改时可能出现竞争条件

TW-85328 — Perforce:即使检出过程中出现问题,构建仍继续执行

TW-82564 — TeamCity REST API 可能偶尔会提供相同构建配置的另一个构建的工件

TW-84339 — 无法从 UI 打开带有方括号的工件文件夹

TW-84065 — 默认启用 PostgreSQL 连接的 testOnBorrow 和验证查询

TW-83312 — 构建在磁盘空间不足阶段失败

TW-83829 — Python 可执行文件可以找到但未报告给代理参数

TW-83698 — Perforce shelve 触发器为已运行的构建触发

性能问题

TW-85640 — 从构建概览页面的请求中排除 testOccurrence(count)

TW-85482 — 修订计算过慢(大量时间花费在 CheckoutRulesRevWalk.collectUninterestingCommits 上)

TW-84618 — 检查 Perforce 中更改的效率低下(嵌套的 doGetPath2LatestRevision 调用)

安全性

25 个安全问题已得到修复。 为了保护那些尚未更新服务器的客户,我们通常会保留这些修复的详情。 反而,我们鼓励您在每次修复错误的几天后查看我们的 安全公告以获取更多信息。

为了增强透明度以及由于发布新的安全公告(源于 2022.04.6 、 2022.10.5 、 2023.05.5 、 2023.11.5 和 2024.03.2 错误修复更新的同时发布)可能出现的延迟,我们决定提供新的和回溯修复的摘要。

反向移植的修复程序

这些问题已在更新的主要 TeamCity 版本中解决,并已回溯至此错误修复更新。 您可以在我们的 安全公告 中找到更多相关信息。

  • 路径遍历允许读取 JAR 存档中的数据。 由 Sndav Bai 和 Crispr Xiang 从 TianShu Dubhe 团队报告(TW-86017)

  • 从备份恢复时可能出现存储型 XSS(TW-82309)

  • 允许绕过身份验证以执行管理员操作是可能的。 由 Rapid7 团队报告(TW-86500)

  • 可能产生远程代码执行的身份验证绕过。 由 Sndav Bai 和 Crispr Xiang 从天枢 Dubhe 团队报告 (TW-86005)

  • 允许进行有限管理操作的路径遍历是可能的。 由 Rapid7 团队报告(TW-86502)

  • Maven 构建步骤检测器中可能存在 XXE(TW-86300)

  • 经过身份验证但没有管理员权限的用户在禁用自我注册时 (TW-87046) 能注册其他用户

  • 服务器管理员可以通过安装工具(TW-86039)从服务器删除任意文件。

  • S3 艺术品存储插件中预签名 URL 生成请求的授权不当 (TW-85562)

  • 通过代理分发设置(TW-86535)可以进行 XSS 攻击

  • 登录页面存在可能的开放重定向问题(TW-87062)

  • 在 Kotlin DSL 文档中出现了有限的目录遍历(TW-85585)

  • 在查看构建日志时,可能会出现存储型 XSS(TW-81777)

最近解决的问题

以下安全问题的修复并未在我们的安全公告中立即提供:新发现并已修复的问题,来自 TeamCity 代码库之外的上游库的问题,先前报告漏洞的特定案例,以及其他情况。

您可以期待我们的 安全公告在官方版本发布几天后发布这些问题的大部分详细信息。

  • 允许从服务器读取文件的路径遍历是可能的

  • 在其生命周期的特定短暂时刻,可以在未经授权的情况下访问 TeamCity 服务器

  • 代码检查报告中的多个存储型XSS

  • 拉取请求和提交状态发布器构建功能中的不当访问控制

  • 在 Commit Status Publisher 中可能存在存储型 XSS

  • 第三方代理可能会冒充云代理

  • 通过某些报告分组和过滤操作可能会执行 XSS

  • 通过第三方报告可以进行存储型 XSS 攻击

  • 通过 OAuth 提供商配置可能发生反射 XSS

  • 通过问题跟踪器集成可能出现的存储型 XSS

  • 通过 OAuth 连接设置可能会发生存储型 XSS 攻击

  • 订阅页面存在反射型 XSS 可能

最后修改日期: 2025年 8月 12日
TeamCity 2023.05.5 版本发布说明TeamCity 2022.10 中的新功能