出典: Security NEXT – https://www.security-next.com/181597
JetBrainsの複数製品に深刻な脆弱性が判明 – 「Hub」ではクリティカルな認証回避も
2026年3月2日、JetBrainsは同社の複数製品に存在する脆弱性についてアドバイザリを公開しました。特に「Hub」製品においては、管理者権限を奪取される可能性のあるクリティカルな脆弱性が報告されています。
主要なポイント
- クリティカルな認証回避脆弱性(CVE-2026-25848): 「Hub」に存在し、管理者権限と同等の操作が可能になるため、非常に重大なリスクを伴います。CVSSv3.1のスコアは9.1と高評価。
- 高リスクの脆弱性: 「YouTrack」では権限エンドポイントへの不正リクエスト送信(CVE-2026-28193)、「PyCharm」ではJupyterビューアページにおけるクロスサイトスクリプティング(XSS、CVE-2026-25847)が確認され、いずれも高い危険度(CVSS 8.8、8.2)です。
- 中・低リスクの脆弱性も複数: 「TeamCity」や「YouTrack」で中程度のリスクが3件、さらに「TeamCity」で低リスクの脆弱性1件も修正されています。
- アップデートの提供と利用者への注意喚起: JetBrainsはこれら脆弱性を修正したアップデートを公開しており、ユーザーに速やかな適用を呼びかけています。
技術的な詳細や背景情報
今回の脆弱性群は、JetBrainsが提供する開発支援ツール群に影響を及ぼしています。特に「Hub」はチーム管理や認証を担う製品であり、認証回避脆弱性(CVE-2026-25848)は、正規の認証プロセスを迂回して管理者権限を取得できる問題です。これはシステム全体の制御権を奪われる可能性があるため、極めて深刻です。
また、「YouTrack」の権限エンドポイントへの不正リクエスト送信は、権限チェックの不備を突くもので、攻撃者が本来アクセスできない操作を実行可能にします。「PyCharm」のJupyterビューアにおけるXSS脆弱性は、悪意あるスクリプトが注入され、ユーザーのブラウザ上で不正な動作を引き起こすリスクがあります。
これらの脆弱性は、共通脆弱性評価システム(CVSSv3.1)によってリスクレベルが評価されており、スコアが高いほど深刻度が増します。今回のクリティカル脆弱性は9.1という高スコアであり、迅速な対応が求められます。
影響や重要性
JetBrainsの製品は世界中の開発者やチームで広く利用されているため、これらの脆弱性が悪用されると、ソフトウェア開発環境の安全性が大きく損なわれる恐れがあります。特に管理者権限の奪取は、システムの完全な制御を攻撃者に許すことになり、情報漏洩や改ざん、さらにはマルウェアの設置など多様な被害につながります。
また、XSS脆弱性はユーザーのセッション情報の盗難やフィッシング詐欺の誘発に利用されることが多く、利用者の安全にも直接的な影響を及ぼします。したがって、JetBrains製品のユーザーは速やかに提供されたアップデートを適用し、リスクを軽減することが不可欠です。
まとめ
JetBrainsは「Hub」「PyCharm」「YouTrack」「TeamCity」といった主要製品に複数の脆弱性を確認し、特に「Hub」の認証回避脆弱性はクリティカルな問題として警戒されています。これらの脆弱性は管理者権限の不正取得やクロスサイトスクリプティングなど、多様な攻撃手法を許すため、利用者は速やかに最新版へのアップデートを実施してください。
安全な開発環境を維持するためにも、脆弱性情報の継続的な確認と適切な対策が重要です。JetBrains製品を利用している方は、公式のセキュリティアドバイザリを参照し、最新の情報を常に把握することをおすすめします。
