概要
JetBrains Hub において、データベースへの直接アクセスを経由することで認証を完全にバイパスし、管理者権限を取得できる脆弱性が発見されました(CVE-2026-50242)。CVSSスコアは最高値の 10.0 です。
JetBrains Hub はチーム開発向けのユーザー管理・認証基盤(SSO、権限管理)として広く利用されており、JetBrains IDE や TeamCity、YouTrack 等と連携する環境での影響が懸念されます。
攻撃者はネットワーク経由で、ユーザー操作なしに、低権限のアカウントなしに(未認証で)この脆弱性を利用できると評価されています。
CVSSベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
| CWE | CWE-306(Missing Authentication for Critical Function) |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| JetBrains Hub | 〜 2026.1.13756 | 2026.1.13757 |
| JetBrains Hub | 〜 2025.3.148032 | 2025.3.148033 |
| JetBrains Hub | 〜 2025.2.148047 | 2025.2.148048 |
| JetBrains Hub | 〜 2025.1.148119 | 2025.1.148120 |
| JetBrains Hub | 〜 2024.3.148429 | 2024.3.148430 |
| JetBrains Hub | 〜 2024.2.148428 | 2024.2.148429 |
修正バージョンと回避策
推奨対応: 上記の修正バージョンへの速やかなアップデートを推奨します。
JetBrains Hub の管理コンソールからアップデートを確認するか、JetBrains Security Bulletin にてリリース情報を参照してください。
回避策: 公式からの回避策は現時点で公表されていません。Hub へのネットワークアクセスをファイアウォールで制限することで攻撃面の一部を縮小できますが、根本解決にはアップデートが必要です。
同製品では本日、以下の脆弱性も同時公開されています。対応時は合わせて確認してください。
- CVE-2026-56142(CVSS 9.9)— 権限昇格(認証詳細のアカウント紐付け)
- CVE-2026-56141(CVSS 9.8)— 予測可能な復元コードによるアカウント乗っ取り
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。