文章总结: JetBrains修复了影响Hub、YouTrack和GoLand的三个安全漏洞,其中最严重的是CVSS10分的身份验证绕过漏洞CVE-2026-50242,攻击者可通过数据库访问获取管理员权限。另外两个漏洞分别允许权限提升和远程代码执行。建议自行托管用户立即更新至已修复版本,云服务用户已自动修补。 综合评分: 85 文章分类: 漏洞预警,漏洞分析,应用安全,网络安全
JetBrains 发布补丁,修复影响 1500 万开发者的 CVSS 满分(10)身份验证绕过漏洞
sec随谈 sec随谈
sec随谈
2026年7月2日 09:23 北京
在小说阅读器读本章
去阅读
摘要
JetBrains 修复了 Hub、YouTrack 和 GoLand 中的三个安全漏洞。其中最严重的是一个 CVSS 评分为 10 的 JetBrains 身份验证绕过漏洞(CVE-2026-50242)。该公司未发现任何现实世界中被滥用的迹象。
为何值得关注
据 JetBrains 自己统计,其工具触及超过 1500 万开发者。这一数字体现了其装机规模,不过此次漏洞的直接暴露范围要更窄一些。Hub 为许多团队提供单点登录(SSO)和账户管理功能。因此,一个账户漏洞就可能解锁所有相连的服务。CVSS 10 分标志着最高级别的严重性,而且该漏洞的利用无需任何预先权限。
真正面临风险的是自行托管(self-managed)的 Hub 和 YouTrack Server 实例。JetBrains 云服务的客户已由厂商完成修补。
攻击如何运作
最严重的漏洞 CVE-2026-50242 是一个 JetBrains 身份验证绕过漏洞。拥有数据库直接访问权限的攻击者可借此获得管理员控制权。其次,CVE-2026-56142(CVSS 9.9)允许低权限用户通过向账户附加认证详情来提升权限。第三个漏洞 CVE-2026-53915(CVSS 7.1)则允许通过不受信任的项目配置在 GoLand 中实现远程代码执行。
独立研究人员与 JetBrains 于 2026 年 5 月通过协同披露(coordinated disclosure)发现了这些问题。随后,厂商为其分配了 CVE 编号并发布了修复程序。
受影响的版本
Hub 相关漏洞影响早于 2026.1.13757、2025.3.148033、2025.2.148048、2025.1.148120、2024.3.148430 和 2024.2.148429 的构建版本。捆绑了 Hub 的 YouTrack Server 同样受影响。与此同时,GoLand 漏洞影响早于 2026.1.3 的版本。
利用状况
JetBrains 表示,未发现在测试环境之外存在被利用的证据。此外,目前也尚不存在公开的概念验证(PoC)代码。
补丁与缓解措施
请立即更新。JetBrains 已修补 YouTrack Cloud,并为 Hub、YouTrack Server 和 GoLand 发布了已修复的构建版本。自行托管环境的管理员应尽快升级至所列出的版本。完整清单请参阅 JetBrains 的”已修复安全问题”页面。
参考链接:
https://www.jetbrains.com/privacy-security/issues-fixed/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《JetBrains 发布补丁,修复影响 1500 万开发者的 CVSS 满分(10)身份验证绕过漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论