JetBrains修复CVSS满分漏洞,影响1500万开发

admin 2026-07-04 04:57:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: JetBrains修复了三个安全漏洞,包括一个CVSS满分的认证绕过漏洞CVE-2026-50242,影响Hub、YouTrack和GoLand。该漏洞可被拥有直接数据库访问权限的攻击者利用获得管理员控制,影响超过1500万开发人员。自托管实例面临风险,Cloud客户已受保护。建议用户立即升级到已修复版本。 综合评分: 73 文章分类: 漏洞预警,漏洞分析,安全工具,应用安全,网络安全


cover_image

JetBrains 修复 CVSS 满分漏洞,影响1500万开发

Do Son Do Son

代码卫士

2026年7月3日 17:37 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

JetBrians修复了位于 Hub、YouTrack 和 GoLand 中的三个漏洞,其中CVE-2026-50242是CVSS满分的认证绕过漏洞,目前尚未发现遭利用的证据。

JetBrians 称,该工具的开发人员用户超过1500万名,这也成为该工具的安装基础,不过直接暴露面可能会更少。Hub 为很多团队提供单点登录和账户管理服务,因此一个账户漏洞可解锁所有互联服务。CVSS满分是严重性最高的漏洞等级,且该漏洞的利用无需任何前置权限。自管理的Hub 和 YouTrack Server 实例面临真正的风险,JetBrians Cloud 客户已受到保护。

CVE-2026-50242是JetBrains 认证绕过漏洞,用于直接的数据库访问权限的攻击者可获得管理员控制。CVE-2026-56142(CVSS评分9.9)可导致低权限用户通过将认证详情附加到账号的方式提权。CVE-2026-53915(CVSS 7.1)可导致攻击者通过不受信任的项目配置,在 GoLand 实现远程代码执行。

独立安全研究员和 JetBrains 在2025年5月通过协同披露获悉这些漏洞,之后分配的CVE编号并提供修复方案。

Hub 漏洞影响 2026.1.13757、2025.3.148033、2025.2.148048、2025.1.148120、2024.3.148430 和 2024.2.148429版本。与Hub 绑定的YouTrack Server也受影响。GoLand 漏洞影响2026.1.3 之前的版本。JetBrians 表示未发现测试环境以外的漏洞利用情况,另外,并未出现概念验证。

JetBrains 已修复 YouTrack Cloud 并发布了已修复的Hub、YouTrack Server 和 GoLand 版本。自托管的管理员应当立即升级至文中提到的已修复版本。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

微软称朝鲜黑客正在利用 JetBrains TeamCity 漏洞

自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌

谷歌拒修 Kubernetes 操作器满分漏洞并拒发赏金

CISA 要求联邦机构在本周五前修复Joomla 插件满分漏洞

原文链接

JetBrains Patches CVSS 10 Authentication Bypass Affecting 15 Million Developers

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Do Son Do Son《JetBrains 修复 CVSS 满分漏洞,影响1500万开发》

评论:0   参与:  0