JetBrainsは、IntelliJ IDEA、TeamCity、YouTrackにセキュリティアップデートをリリースし、IntelliJ IDEAでコード実行を可能にする重大なパストラバーサルの問題を含む6件の脆弱性に対処しました。
セキュリティ製品とサービス
今回の修正はコア開発ツール、CI/CDインフラ、課題追跡環境に影響するため、ソフトウェア開発ワークフローでJetBrains製品を利用している組織にとって、速やかなパッチ適用が重要になります。
最も深刻な脆弱性はIntelliJ IDEAに存在し、プロジェクトのワークスペースIDの処理が不適切であることから、パストラバーサルとコード実行を許してしまう可能性があります。
脆弱なワークスペースIDに影響を及ぼせる攻撃者は、意図されたプロジェクトワークスペースの範囲外にあるファイルへのアクセスや、コンテンツの書き込みが可能になるおそれがあります。JetBrainsはこの重大な問題を修正し、IntelliJ IDEA バージョン2026.1.42026.1.42026.1.4および2026.22026.22026.2で対応済みです。
JetBrains製品の重大な脆弱性
TeamCityでは、4件の深刻度「高」の脆弱性が修正されました。影響を受ける範囲は、Perforce VCS統合、クラウドプロファイルページ、認証なしのエージェント登録、パイプライン認可制御です。
TeamCityのインスタンスは一般的にソースコード、ビルド成果物、署名鍵、アクセストークン、デプロイワークフローを管理しているため、悪用に成功すると機密性の高い開発資産が露出したり、攻撃者がソフトウェアサプライチェーンを改ざんしたりするおそれがあります。
- CVE-2026-59792 – IntelliJ IDEA: プロジェクトワークスペースIDの処理におけるパストラバーサルに起因する、重大なコード実行の脆弱性です。CWE-23に分類され、Antoni Tremblay氏によって報告されました。IntelliJ IDEA 2026.1.42026.1.42026.1.4および2026.22026.22026.2で修正済みです。
- CVE-2026-59793 – TeamCity: Perforce VCS統合における、深刻度「高」の任意ファイルアクセスの脆弱性です。CWE-73に分類され、@maple3142氏によって報告され、TeamCity 2026.1.22026.1.22026.1.2で修正されました。
- CVE-2026-59794 – TeamCity: エージェントが報告するデータを介した、クラウドプロファイルページにおける深刻度「高」の格納型クロスサイトスクリプティングの脆弱性です。CWE-79の問題は、TeamCity 2026.1.22026.1.22026.1.2で修正されました。
- CVE-2026-59795 – TeamCity: 認証なしのビルドエージェント登録を介した、深刻度「高」の格納型クロスサイトスクリプティングの脆弱性です。CWE-79の欠陥は、Joakim Bulow氏によって報告され、TeamCity 2026.1.22026.1.22026.1.2で修正されました。
- CVE-2026-59796 – TeamCity: 権限チェックの不備に起因する、深刻度「高」のパイプライン改ざんの脆弱性です。CWE-862の問題は、Alwion氏によって報告され、TeamCity 2026.1.22026.1.22026.1.2で修正されました。
- CVE-2026-59791 – YouTrack: Mermaid図のレンダリングにおける、深刻度「低」のCSSインジェクションの脆弱性です。CWE-1021の欠陥は、h3ri0sとしても知られるRohit Prasanth氏によって報告され、YouTrack 2026.2.170122026.2.170122026.2.17012で解決されました。
TeamCityの脆弱性には特に注意が必要です。格納型XSSは管理者のセッションを露出させたり、権限を持つユーザーのブラウザを介して不正な操作を可能にしたりするおそれがあるためです。
また、パイプライン改ざんの問題は、ビルド定義やデプロイプロセス、リリースワークフローへの不正な変更を許す可能性があり、ソフトウェアサプライチェーンのリスクとなり得ます。
組織は、IntelliJ IDEA、TeamCity、YouTrackを直ちに修正済みバージョンへアップグレードする必要があります。TeamCityの管理者はさらに、最近登録されたビルドエージェント、パイプラインおよびビルド構成の変更、Perforce統合の設定、クラウドプロファイルに表示される異常なコンテンツについても確認すべきです。
TeamCityサーバーへのアクセス制限、最小権限の原則の徹底、CI/CDログの監視を行うことで、悪用のリスクをさらに低減できます。
脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをSOCに統合する今すぐ。
セキュリティ製品とサービス
翻訳元: https://gbhackers.com/critical-jetbrains-flaws-impact-intellij-idea/