出典: Security NEXT – https://www.security-next.com/176940
JetBrains「YouTrack」に複数の脆弱性が発覚 – トークン漏洩のリスクも
JetBrainsが提供するプロジェクト管理ツール「YouTrack」において、複数のセキュリティ脆弱性が報告されました。中でも、認証済みユーザーのグローバルトークンが漏洩する可能性のあるクリティカルな脆弱性が含まれており、ユーザーは速やかなアップデート適用が求められています。
主要なポイント
- クリティカルな脆弱性「CVE-2025-64689」
認証が必要ですが、ネットワーク経由でグローバルトークンが取得される恐れがあります。CVSSv3.1のスコアは9.6で、最も高い「クリティカル」と評価されています。 - TLS証明書検証の不備「CVE-2025-64685」
TLS(Transport Layer Security)証明書の検証が適切に行われず、通信の安全性が損なわれ情報漏洩のリスクがあります。CVSSスコアは8.1で「高(High)」の重要度です。 - 権限のないリポジトリへの委譲が可能な脆弱性「CVE-2025-64688」
「Junieウィジェット」のVCS URL検証に不備があり、権限のないリポジトリにアクセス権を委譲できる問題です。CVSSスコアは7.4、「高(High)」と評価されています。 - その他の中・低リスク脆弱性
「CVE-2025-64687」「CVE-2025-64690」「CVE-2025-64684」は中(Medium)、「CVE-2025-64686」は低(Low)と評価されており、合わせて7件の脆弱性が確認されています。 - 修正版のリリースと対応の呼びかけ
JetBrainsは「YouTrack 2025.3.104432」をリリースし、これらの脆弱性を修正しました。ユーザーには速やかなアップデート適用が推奨されています。
技術的な詳細や背景情報
YouTrackはソフトウェア開発やプロジェクト管理に用いられるツールで、多くの開発チームに利用されています。今回の脆弱性の中でも特に注目されるのは「グローバルトークン」の漏洩リスクです。グローバルトークンは認証済みユーザーがAPIなどを利用する際のアクセスキーであり、これが漏洩すると不正アクセスや情報漏洩の危険性が高まります。
また、TLS証明書の検証不備は通信の暗号化と安全性を担保する重要な機能の欠陥であり、これにより中間者攻撃(MITM攻撃)などが成立しやすくなります。さらに、VCS URLの検証不備は、バージョン管理システムのリポジトリに対する権限管理の欠陥を意味し、権限のないユーザーが不正にリポジトリ操作を行うリスクがあります。
影響や重要性
これらの脆弱性は、YouTrackを利用する企業や開発チームの情報セキュリティに直接的な影響を与えます。特にクリティカルな脆弱性は、攻撃者にとって非常に魅力的な攻撃対象となり得るため、放置すると重大な情報漏洩や不正操作につながる恐れがあります。
プロジェクト管理ツールは開発プロセスの中心的役割を担うため、ここに生じた脆弱性は開発環境全体の安全性を脅かすことになります。したがって、速やかな脆弱性対応と定期的なセキュリティアップデートの実施が不可欠です。
まとめ
JetBrainsのYouTrackにおける複数の脆弱性は、特にグローバルトークン漏洩のリスクが高いクリティカルな問題を含んでいます。TLS証明書検証の不備や権限管理の欠陥も併せて報告されており、利用者は最新版「YouTrack 2025.3.104432」へのアップデートを速やかに行う必要があります。プロジェクト管理ツールのセキュリティは開発環境全体の安全性に直結するため、継続的な監視と対策が求められます。
