JetBrains发布补丁,修复影响1500万开发者的CVSS满分(10)身份验证绕过漏洞

admin 2026-07-04 04:40:21 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: JetBrains修复了影响Hub、YouTrack和GoLand的三个安全漏洞,其中最严重的是CVSS10分的身份验证绕过漏洞CVE-2026-50242,攻击者可通过数据库访问获得管理员权限。漏洞影响自托管实例,云服务已修补。建议管理员立即升级至修复版本,目前未发现野外利用。 综合评分: 80 文章分类: 漏洞分析,安全工具,解决方案,漏洞预警,网络安全


cover_image

JetBrains 发布补丁,修复影响 1500 万开发者的 CVSS 满分(10)身份验证绕过漏洞

sec随谈 sec随谈

sec随谈

2026年7月2日 09:23 北京

在小说阅读器读本章

去阅读

摘要

JetBrains 修复了 Hub、YouTrack 和 GoLand 中的三个安全漏洞。其中最严重的是一个 CVSS 评分为 10 的 JetBrains 身份验证绕过漏洞(CVE-2026-50242)。该公司未发现任何现实世界中被滥用的迹象。

为何值得关注

据 JetBrains 自己统计,其工具触及超过 1500 万开发者。这一数字体现了其装机规模,不过此次漏洞的直接暴露范围要更窄一些。Hub 为许多团队提供单点登录(SSO)和账户管理功能。因此,一个账户漏洞就可能解锁所有相连的服务。CVSS 10 分标志着最高级别的严重性,而且该漏洞的利用无需任何预先权限。

真正面临风险的是自行托管(self-managed)的 Hub 和 YouTrack Server 实例。JetBrains 云服务的客户已由厂商完成修补。

攻击如何运作

最严重的漏洞 CVE-2026-50242 是一个 JetBrains 身份验证绕过漏洞。拥有数据库直接访问权限的攻击者可借此获得管理员控制权。其次,CVE-2026-56142(CVSS 9.9)允许低权限用户通过向账户附加认证详情来提升权限。第三个漏洞 CVE-2026-53915(CVSS 7.1)则允许通过不受信任的项目配置在 GoLand 中实现远程代码执行。

独立研究人员与 JetBrains 于 2026 年 5 月通过协同披露(coordinated disclosure)发现了这些问题。随后,厂商为其分配了 CVE 编号并发布了修复程序。

受影响的版本

Hub 相关漏洞影响早于 2026.1.13757、2025.3.148033、2025.2.148048、2025.1.148120、2024.3.148430 和 2024.2.148429 的构建版本。捆绑了 Hub 的 YouTrack Server 同样受影响。与此同时,GoLand 漏洞影响早于 2026.1.3 的版本。

利用状况

JetBrains 表示,未发现在测试环境之外存在被利用的证据。此外,目前也尚不存在公开的概念验证(PoC)代码。

补丁与缓解措施

请立即更新。JetBrains 已修补 YouTrack Cloud,并为 Hub、YouTrack Server 和 GoLand 发布了已修复的构建版本。自行托管环境的管理员应尽快升级至所列出的版本。完整清单请参阅 JetBrains 的”已修复安全问题”页面。

参考链接:

https://www.jetbrains.com/privacy-security/issues-fixed/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《JetBrains 发布补丁,修复影响 1500 万开发者的 CVSS 满分(10)身份验证绕过漏洞》

评论:0   参与:  0