JetBrains、YouTrackとKotlinの認証バイパス・コード実行攻撃を修正

JetBrainsは製品ラインナップ全体にわたって一連のセキュリティアップデートをリリースし、攻撃者が認証制御を回避して影響を受けるシステム上で任意のコードを実行できてしまう複数の重大・高深刻度の脆弱性を修正しました。

今回の修正はHub、IntelliJ IDEA、GoLand、YouTrack、TeamCityに及び、複数のバグがCriticalまたはHighと評価されています。最も深刻な問題は、JetBrainsツールチェーンの基盤となるIDおよびアクセス管理層であるJetBrains Hubに影響します。

CVSSスコア9.8のCVE-2026-56141は、脆弱な乱数生成器(CWE-338)によって生成されるアカウント復元コードが予測可能であることに起因しており、未認証の攻撃者が有効なコードを列挙して、管理者アカウントを含む任意のアカウントを乗っ取ることができてしまいます。

2つ目のCritical脆弱性であるCVE-2026-50242(CWE-306)は、データベースへの直接アクセスによる認証バイパスを許し、有効な認証情報なしに管理権限を取得できてしまいます。

関連する権限昇格の脆弱性CVE-2026-56142は、攻撃者が既存のアカウントに不正な認証情報を付加することを可能にします(CWE-915)。これら3件はいずれも、Hub 2026.1.13757および2025.x系・2024.x系向けの対応パッチで修正されています。

IntelliJ IDEAでは、2件のHigh深刻度の問題が修正されました。ファイル名補完機能を通じてトリガーされるコマンドインジェクションの脆弱性CVE-2026-49366(CWE-78)と、Code With Meのコラボレーションセッションにおいて低権限のゲストユーザーがホストシステム上でコマンドを実行できてしまう認証バイパスの脆弱性CVE-2026-49367(CWE-862)です。

JetBrainsはIntelliJ IDEA 2026.1.1で両方の脆弱性を解消しており、管理者に対しては未パッチのホストではゲストコラボレーション機能を無効化し、IDEが扱う認証情報をローテーションするよう推奨しています。

これとは別に、GoLandでは信頼できないプロジェクト設定ファイルの読み込みによってトリガーされるHigh深刻度のリモートコード実行の脆弱性CVE-2026-53915が修正され、バージョン2026.1.3で対応済みとなっています。

TeamCity On-Premisesでは、特定のファイアウォール構成下でサーバーAPIが不正アクセスにさらされる認証後のHigh深刻度の脆弱性(CWE-306)であるCVE-2026-44413に対応しました。

この脆弱性はTeamCity 2026.1および2025.11.5で修正されており、旧バージョン系列向けにはセキュリティパッチプラグインが提供されています。TeamCityではさらに、Perforce接続設定を経由したコマンドインジェクションによるHigh深刻度のRCE、CVE-2026-49373も修正されました。

YouTrackでは、Hacktron AIおよび研究者のRahul Maini氏によって報告されたHigh深刻度のサンドボックスバイパスRCEであるCVE-2026-33392が修正されたほか、Hubと共通する別の認証バイパスであるCVE-2026-50242にも対応しています。

JetBrainsのアドバイザリによると、Hub、YouTrack、TeamCity、または影響を受けるデスクトップIDEをセルフホスト環境で運用しているすべての顧客は、直ちにパッチ適用済みバージョンへアップグレードすべきだとしています。これらの脆弱性の多くは、認証もユーザー操作も必要とせずに悪用できるためです。

翻訳元: https://cyberpress.org/jetbrains-patches-authentication-bypass-code-execution/

ソース: cyberpress.org