Компания JetBrains выпустила пакет обновлений для трёх продуктов: среды разработки IntelliJ IDEA, сервера непрерывной интеграции TeamCity и трекера задач YouTrack. Исправления закрывают шесть уязвимостей, одна из которых получила критическую оценку. Самая серьёзная проблема зафиксирована в IntelliJ IDEA - она позволяет атакующему обходить ограничения каталогов и потенциально выполнять произвольный код. Наличие уязвимостей в инструментах, которые используются для сборки, тестирования и управления проектами, делает установку патчей особенно важной для организаций, полагающихся на экосистему JetBrains.
Детали уязвимостей
Наибольшую опасность представляет уязвимость CVE-2026-59792 в IntelliJ IDEA. Причина - некорректная обработка идентификатора рабочего пространства проекта (workspace ID). Если злоумышленник может влиять на этот идентификатор, он способен получить доступ к файлам за пределами разрешённой области проекта или записать туда произвольное содержимое. Такой сценарий в конечном счёте может привести к выполнению кода. JetBrains устранила проблему в версиях IntelliJ IDEA 2026.1.4 и 2026.2. Уязвимость была обнаружена исследователем Антони Трамбле и классифицирована как CWE-23 (обход пути).
В TeamCity закрыты четыре проблемы с высоким уровнем опасности. Они затрагивают разные компоненты: интеграцию с системой управления версиями Perforce, страницы облачных профилей, неаутентифицированную регистрацию агентов сборки и механизмы авторизации в конвейерах. Поскольку TeamCity обычно управляет исходным кодом, артефактами сборки, ключами подписи, токенами доступа и процессами развёртывания, успешная эксплуатация может раскрыть критически важные ресурсы разработки или позволить злоумышленнику вмешаться в цепочку поставок программного обеспечения.
Первая из высокоопасных уязвимостей TeamCity - CVE-2026-59793, связанная с интеграцией Perforce VCS. Дефект типа CWE-73 (выход за пределы ограничения) позволяет читать произвольные файлы на сервере. Исследователь @maple3142 сообщил о проблеме, и она исправлена в версии 2026.1.2.
Вторая и третья уязвимости - CVE-2026-59794 и CVE-2026-59795 - относятся к классу межсайтового скриптинга (хранимый XSS). Одна возникает на странице облачного профиля из-за данных, переданных агентом сборки; вторая - при неаутентифицированной регистрации агента. Обе позволяют злоумышленнику внедрить вредоносный скрипт, который выполнится в браузере другого пользователя. CVE-2026-59795 была обнаружена Йоакимом Буловом, а обе исправлены в TeamCity 2026.1.2.
Четвёртая проблема в TeamCity - CVE-2026-59796 - связана с недостаточной проверкой прав доступа (CWE-862). Злоумышленник может модифицировать определения конвейеров сборки, процессы развёртывания или релизные сценарии. Это создаёт прямую угрозу безопасности цепочки поставок, так как атакующий способен подменить артефакты или вставить вредоносный код на этапе сборки. Уязвимость сообщена пользователем Alwion и устранена в версии 2026.1.2.
В YouTrack найдена уязвимость низкой степени серьёзности - CVE-2026-59791. Она представляет собой внедрение CSS-кода при рендеринге диаграмм Mermaid (CWE-1021). Исправление включено в версию 2026.2.17012. Проблему обнаружил Рохит Празант, известный под псевдонимом h3ri0s.
Наибольшего внимания требуют уязвимости TeamCity с хранимым XSS. Если атакующий зарегистрирует вредоносного агента или использует другие векторы, он сможет выполнить скрипты в контексте сессии администратора или другого привилегированного пользователя. Через такой скрипт злоумышленник может перехватить управление, изменить конфигурации или украсть учётные данные. Уязвимость модификации конвейеров, в свою очередь, позволяет обойти проверки и внести изменения в критические процессы сборки и релиза, что ставит под угрозу целостность конечного программного продукта.
JetBrains рекомендует немедленно обновить IntelliJ IDEA до версии 2026.1.4 или 2026.2, TeamCity - до 2026.1.2, YouTrack - до 2026.2.17012. Для TeamCity также следует пересмотреть список недавно зарегистрированных агентов сборки, проверить последние изменения в настройках конвейеров и конфигурациях сборки, а также просмотреть содержание облачных профилей на предмет подозрительного контента. Администраторам стоит ограничить доступ к серверам TeamCity, применить принцип минимальных привилегий и усилить мониторинг журналов CI/CD.
Подобные обновления безопасности в инструментах разработки становятся регулярными. Каждый выход патчей напоминает о том, что даже доверенное программное обеспечение, работающее в критически важных процессах доставки кода, может содержать уязвимости, которые при эксплуатации наносят ущерб не только разработчикам, но и конечным пользователям продуктов, собранных и выпущенных через скомпрометированные конвейеры.
Ссылки