Компания JetBrains выпустила обновления для центрального компонента управления доступом Hub, устраняющие три уязвимости критического уровня опасности. Проблемы затрагивают механизмы восстановления учётных записей, привязку данных аутентификации и логику прямого доступа к базе данных. В случае эксплуатации злоумышленник мог бы полностью обойти аутентификацию, захватить контроль над учётными записями и повысить свои привилегии в связанных сервисах, включая YouTrack и TeamCity. Патчи доступны в версии Hub 2026.1.13757, а также в ряде веток долгосрочной поддержки (LTS) - 2025.3, 2025.2, 2025.1, 2024.3 и 2024.2.
Детали уязвимостей
Hub выступает центральным поставщиком идентификации (IdP) для всей экосистемы JetBrains: через него проходят аутентификацию пользователи YouTrack, TeamCity и других продуктов. Поэтому компрометация Hub влечёт за собой риск несанкционированного доступа к нескольким системам, включая трекеры задач, серверы непрерывной интеграции и развёртывания (CI/CD) и связанные с ними хранилища данных. JetBrains настоятельно рекомендует администраторам как можно скорее обновить экземпляры Hub, особенно те, которые доступны из интернета или обслуживают несколько арендаторов.
Самая серьёзная находка получила идентификатор CVE-2026-56141 и была обнаружена исследователем Нгок Туаном. Уязвимость связана с процедурой восстановления доступа к аккаунту: Hub генерировал коды восстановления с недостаточной степенью случайности. Проблема соответствует классификации CWE-338 (использование криптографически слабого генератора псевдослучайных чисел). Атакующий, зная или подобрав логин или адрес электронной почты жертвы, мог предсказать код восстановления и перехватить контроль над учётной записью, в том числе над аккаунтами с высокими привилегиями. Поскольку Hub связывает единый вход (SSO) для нескольких сервисов, захват одного аккаунта потенциально давал злоумышленнику доступ к трекерам, CI/CD и другим интегрированным системам. В исправленной версии JetBrains усилила генерацию кодов восстановления.
Вторая критическая проблема, CVE-2026-56142 (CWE-915 - неправильно контролируемое изменение динамически определяемых атрибутов объекта), связана с механизмом прикрепления к учётной записи дополнительных данных аутентификации. Аутентифицированный пользователь мог манипулировать привязанными записями, чтобы повысить собственные привилегии. В среде, где Hub выступает единым брокером SSO, подобная атака позволила бы пользователю с низкими правами получить административную роль или доступ к защищённым проектам и ресурсам без прямого одобрения администратора. JetBrains внедрила более строгую проверку на стороне сервера при изменении привязок аутентификации и добавила проверки авторизации для таких операций.
Третья уязвимость, CVE-2026-50242, описана JetBrains как обход аутентификации через прямой доступ к базе данных, ведущий к получению административных привилегий в Hub. Она отнесена к категории CWE-306 (отсутствие аутентификации для критических функций). Атакующий мог, используя логику на уровне базы данных, обратиться к чувствительным функциям или путям конфигурации, минуя стандартные проверки входа. Исследователь Туан Ан Лай сообщил о проблеме. Исправления внедрены в версии 2026.1 и поддержаны в ветках 2025.x и 2024.x. Примечательно, что тот же идентификатор CVE присвоен и YouTrack, что указывает на схожий вектор обхода при интеграции с Hub и подчёркивает общий риск для экосистемы JetBrains.
Успешная эксплуатация любой из трёх уязвимостей могла бы привести к полной компрометации инфраструктуры разработки и DevOps. Злоумышленник, получивший права администратора Hub или захвативший привилегированную учётную запись, смог бы получить доступ к YouTrack и TeamCity, а значит - к конфиденциальным данным проектов, а также к возможности манипулировать конвейерами сборки и развёртывания.
JetBrains советует обновить Hub до версии 2026.1.13757 или до последнего доступного патча для веток 2025.3, 2025.2, 2025.1, 2024.3 и 2024.2. Командам безопасности следует удостовериться, что все интегрированные продукты также обновлены до совместимых фиксированных версий, перечисленных в бюллетене. В качестве дополнительных мер рекомендуется в первую очередь обновить экземпляры Hub, доступные из интернета, сменить чувствительные учётные данные, проверить журналы аудита на предмет подозрительной активности восстановления учётных записей или изменений привязок аутентификации, а также внедрить строгую многофакторную аутентификацию (MFA). Эти шаги помогут снизить риски, если уязвимости уже были использованы до установки патчей.
Ссылки