文章总结: JetBrains修复了三个安全漏洞,包括一个CVSS满分的认证绕过漏洞CVE-2026-50242,影响Hub、YouTrack和GoLand。该漏洞可被拥有直接数据库访问权限的攻击者利用获得管理员控制,影响超过1500万开发人员。自托管实例面临风险,Cloud客户已受保护。建议用户立即升级到已修复版本。 综合评分: 73 文章分类: 漏洞预警,漏洞分析,安全工具,应用安全,网络安全
JetBrains 修复 CVSS 满分漏洞,影响1500万开发
Do Son Do Son
代码卫士
2026年7月3日 17:37 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
JetBrians修复了位于 Hub、YouTrack 和 GoLand 中的三个漏洞,其中CVE-2026-50242是CVSS满分的认证绕过漏洞,目前尚未发现遭利用的证据。
JetBrians 称,该工具的开发人员用户超过1500万名,这也成为该工具的安装基础,不过直接暴露面可能会更少。Hub 为很多团队提供单点登录和账户管理服务,因此一个账户漏洞可解锁所有互联服务。CVSS满分是严重性最高的漏洞等级,且该漏洞的利用无需任何前置权限。自管理的Hub 和 YouTrack Server 实例面临真正的风险,JetBrians Cloud 客户已受到保护。
CVE-2026-50242是JetBrains 认证绕过漏洞,用于直接的数据库访问权限的攻击者可获得管理员控制。CVE-2026-56142(CVSS评分9.9)可导致低权限用户通过将认证详情附加到账号的方式提权。CVE-2026-53915(CVSS 7.1)可导致攻击者通过不受信任的项目配置,在 GoLand 实现远程代码执行。
独立安全研究员和 JetBrains 在2025年5月通过协同披露获悉这些漏洞,之后分配的CVE编号并提供修复方案。
Hub 漏洞影响 2026.1.13757、2025.3.148033、2025.2.148048、2025.1.148120、2024.3.148430 和 2024.2.148429版本。与Hub 绑定的YouTrack Server也受影响。GoLand 漏洞影响2026.1.3 之前的版本。JetBrians 表示未发现测试环境以外的漏洞利用情况,另外,并未出现概念验证。
JetBrains 已修复 YouTrack Cloud 并发布了已修复的Hub、YouTrack Server 和 GoLand 版本。自托管的管理员应当立即升级至文中提到的已修复版本。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
微软称朝鲜黑客正在利用 JetBrains TeamCity 漏洞
自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌
谷歌拒修 Kubernetes 操作器满分漏洞并拒发赏金
CISA 要求联邦机构在本周五前修复Joomla 插件满分漏洞
原文链接
JetBrains Patches CVSS 10 Authentication Bypass Affecting 15 Million Developers
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Do Son Do Son《JetBrains 修复 CVSS 满分漏洞,影响1500万开发》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论