JetBrains、Hubの重大な認証バイパスおよびアカウント乗っ取り脆弱性を修正

JetBrainsは、JetBrains Hubに存在する複数の重大な脆弱性に対するパッチをリリースしました。これらの脆弱性は、完全な認証バイパス、アカウント乗っ取り、そしてJetBrainsの各種統合サービス全体にわたる不正な権限昇格を許す恐れがあります。管理者は速やかにHubインスタンスを更新するよう強く推奨されています。

Hubの重大な脆弱性

JetBrainsの最新の修正済み問題に関する公表では、YouTrackやTeamCityといった製品をはじめとするJetBrainsの各種サービスに対してユーザー認証を担う中核的なID・アクセス管理コンポーネントであるHubに影響する、3件の新たな重大脆弱性が明らかにされています。

これら3件の問題はすべてHubバージョン2026.1.13757で解決されており、2025.3.148033、2025.2.148048、2025.1.148120、2024.3.148430、2024.2.148429を含む複数の長期サポート(LTS)ブランチにもバックポートされています。

CVE-2026-56141 – 予測可能な復元コードによるアカウント乗っ取り

研究者のNgoc Thuan氏によって報告され、CVE-2026-56141として追跡されている最も深刻な問題は、Hubのアカウント復旧フローで使用される復元コードが予測可能であることに起因し、アカウント乗っ取りを許してしまいます。

JetBrainsによると、Hubの復旧機構はランダム性が不十分な復元コードを生成していたため、CWE-338(暗号学的に脆弱な擬似乱数生成器の使用)に分類される脆弱性につながっていたとのことです。

この弱点により、攻撃者は該当ユーザーのユーザー名やメールアドレスを把握あるいは推測できれば、復元コードを予測またはブルートフォースすることで、高権限のアカウントを含むアカウントを乗っ取ることが可能でした。

Hubは複数のJetBrainsサービスのIDプロバイダーとして機能しているため、単一のHubアカウントが侵害されると、課題トラッカーやCI/CDサーバーをはじめとするさまざまな統合システム全体で不正アクセスが発生する恐れがありました。

JetBrainsは修正版で復元コードの生成方式を強化しており、インターネットに公開されているHub環境やマルチテナントのHub環境については、これを最優先で適用すべきアップデートとして扱うよう推奨しています。

CVE-2026-56142 – 認証情報の付加による権限昇格

2件目の重大なHubの問題であるCVE-2026-56142(CWE-915 – 動的に決定されるオブジェクト属性の不適切な変更制御)は、認証情報をアカウントに安全でない方法で付加できてしまうことに起因します。

JetBrainsによると、認証済みユーザーはリンクされた認証レコードを操作することで、より強力な認証コンテキストやIDを自身のアカウントに事実上結び付け、権限を昇格させることが可能でした。

Hubが中央のシングルサインオン(SSO)ブローカーとして機能している環境では、この脆弱性により、権限の低いユーザーが管理者の直接承認を経ずに管理者権限を取得したり、制限されたプロジェクトやリソースにアクセスしたりできる恐れがありました。

今回の修正では、認証マッピングに対するサーバー側の検証がより厳格になりました。Hubアカウントの認証情報を付加または変更する際には、適切な認可チェックが強制されるようになっています。

CVE-2026-50242 – 管理者アクセスにつながるHub認証バイパス

3件目の重大な欠陥であるCVE-2026-50242は、JetBrainsによれば、データベースへの直接アクセスを介した認証バイパスであり、Hubにおける管理者アクセスにつながる可能性があるとされています。

CWE-306(重要機能に対する認証の欠如)に分類されるこの脆弱性により、攻撃者はデータベースレベルのロジックを悪用することで、機密性の高い機能や設定関連の経路に到達し、標準的なサインイン制御を回避することが可能でした。

JetBrainsはこの問題を報告した研究者Tuan Anh Lai氏に謝意を示しており、修正はHubバージョン2026.1に実装され、2025.x/2024.xの各ブランチでもサポートされています。

同一のCVE識別子はYouTrackにも適用されており、Hubと統合された場合にはYouTrackにも同様のバイパスが影響し得ることを示しています。これは、JetBrainsのエコシステム全体にわたる共通リスクを浮き彫りにするものです。

HubはJetBrainsの複数の製品にまたがる認証・認可の基盤となっているため、これら3件の脆弱性のいずれかが悪用に成功すると、開発およびDevOpsインフラ全体が完全に侵害される可能性があります。

Hubの管理者権限を取得したり、権限の高いアカウントを乗っ取ったりした攻撃者は、YouTrackやTeamCityといった連携サービスにアクセスし、機密性の高いプロジェクトデータを取得したり、CI/CDパイプラインを操作したりすることが可能になります。

JetBrainsは顧客に対し、Hubをバージョン2026.1.13757、または2025.3、2025.2、2025.1、2024.3、2024.2の各ブランチで利用可能な最新のパッチへアップグレードするよう推奨しています。顧客は、公表内容に記載された修正済みバージョンに合わせて、統合されているすべての製品も更新済みであることを確認する必要があります。

セキュリティチームは、インターネットに公開されているHubインスタンスのアップグレードを最優先で行うとともに、機密性の高い認証情報のローテーション、不審なアカウント復旧や認証マッピングに関する活動がないかの監査ログ確認、そして過去の悪用による潜在的リスクを軽減するための強力な多要素認証(MFA)の徹底を行うべきです。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/jetbrains-patches-critical-hub-authentication-bypass/

ソース: gbhackers.com