JetBrains「Hub」で認証バイパスの重大な脆弱性(CVE-2026-25848)-管理者操作が不正実行される恐れ

セキュリティニュース

投稿日時: 更新日時:

JetBrains「Hub」で認証バイパスの重大な脆弱性(CVE-2026-25848)-管理者操作が不正実行される恐れ

JetBrainsのアカウント管理基盤「JetBrains Hub」において、認証を回避(Authentication Bypass)できる可能性がある重大な脆弱性(CVE-2026-25848)が報告されています。攻撃者がこの欠陥を悪用した場合、未認証のまま管理者権限に関わる操作を実行できる恐れがあり、組織のID管理や権限設定に影響が及ぶリスクがあります。

本件は外部から到達可能な環境で特にリスクが高く、Hubを基盤にYouTrackやTeamCityなど周辺システムと連携している場合、影響範囲が拡大する可能性も否定できません。

対象となる製品・バージョン(Hub)

影響を受けるのは、JetBrains Hub「2025.3.119807」より前のバージョンとされています。

対策(Hub)

公開情報では、Hubを「2025.3.119807」以降へ更新することが対策として示されています。


加えて、パッチ適用までの暫定対応としては、Hub管理画面やAPIへの外部到達性を最小化(管理ネットワークへ限定、VPN経由に限定、IP制限等)し、管理者アカウントの監査(不審な管理操作・ユーザー作成・権限変更の有無)を実施することが重要です。