JetBrainsは2026年7月2日までに、同社製品群にわたる複数の重大な脆弱性を修正するセキュリティアップデートをまとめて公開しました。
対象となったのはID・アクセス管理基盤のHub、IDEのIntelliJ IDEAとGoLand、課題管理ツールのYouTrack、CI/CDツールのTeamCityです。中でも深刻度が高いのは、JetBrainsのツールチェーン全体を支えるID基盤Hubに存在する3件の脆弱性で、いずれもCVSSスコアがCritical相当と評価されています。Hubは複数のJetBrains製品にまたがるシングルサインオン(SSO)の役割を担っているため、この基盤が侵害された場合の影響範囲は課題管理システムやCI/CDサーバーなど開発基盤全体に及ぶ可能性があります。自社ホスト型でHub・YouTrack・TeamCityやCode With Me連携機能を運用している組織は、修正版への更新を急ぐ必要があります。
サマリー
- JetBrainsはHub・IntelliJ IDEA・GoLand・YouTrack・TeamCityにまたがる複数の脆弱性を修正。最も深刻な3件はHubに存在し、いずれもCritical相当
- CVE-2026-56141(CVSSスコア9.8)は、Hubのアカウント復元コードが脆弱な乱数生成器(CWE-338)で生成されていたことに起因する脆弱性。未認証の攻撃者が復元コードを推測・総当たりし、管理者アカウントを含む任意のアカウントを乗っ取れる
- CVE-2026-50242は、データベースへの直接アクセスを悪用した認証バイパス(CWE-306)。正規の認証情報なしに管理者権限へアクセス可能。この脆弱性はYouTrackにも共通して存在する
- CVE-2026-56142は、既存アカウントへ不正な認証情報を紐付けられる権限昇格の脆弱性(CWE-915)。HubがSSOのハブとして機能する環境では、低権限ユーザーが管理者相当の権限を得るリスクがある
- IntelliJ IDEAではファイル名補完によるコマンドインジェクション(CVE-2026-49366)と、Code With Meのゲストユーザーがホスト側でコマンドを実行できる認証バイパス(CVE-2026-49367)が修正された
- GoLandには信頼できないプロジェクト設定ファイルの読み込みによるリモートコード実行の脆弱性(CVE-2026-53915)、TeamCityにはファイアウォール設定次第でサーバーAPIが外部から到達可能になる脆弱性(CVE-2026-44413)とPerforce連携設定を悪用したコマンドインジェクション(CVE-2026-49373)がそれぞれ修正されている
| 製品 | 脆弱性の概要 | 深刻度 | CVE番号 | 修正バージョン |
|---|---|---|---|---|
| Hub | 予測可能な復元コードによるアカウント乗っ取り | Critical | CVE-2026-56141 | 2026.1.13757他 |
| Hub | データベース直接アクセスによる認証バイパス | Critical | CVE-2026-50242 | 2026.1.13757他 |
| Hub | 不正な認証情報の紐付けによる権限昇格 | Critical | CVE-2026-56142 | 2026.1.13757他 |
| IntelliJ IDEA | ファイル名補完を介したコマンドインジェクション | High | CVE-2026-49366 | 2026.1.1 |
| IntelliJ IDEA | Code With Meゲストによるコマンド実行 | High | CVE-2026-49367 | 2026.1.1 |
| GoLand | 信頼できないプロジェクト設定によるRCE | High | CVE-2026-53915 | 2026.1.3 |
| TeamCity | ファイアウォール設定次第でAPIが露出 | High | CVE-2026-44413 | 2026.1・2025.11.5 |
| TeamCity | Perforce連携設定を悪用したコマンドインジェクション | High | CVE-2026-49373 | 未公表(要最新版確認) |
| YouTrack | サンドボックス回避によるRCE | High | CVE-2026-33392 | 2025.3.131383 |
| YouTrack | データベース直接アクセスによる認証バイパス | Critical | CVE-2026-50242(Hub共通) | 2026.1.13757他 |
目次
Hubで見つかった3件の重大な脆弱性
今回のアップデートで最も注意が必要なのが、JetBrainsのID・アクセス管理基盤であるHubに存在した3件の脆弱性です。Hubは複数のJetBrains製品を横断するシングルサインオン基盤として機能しており、ここが侵害されると、紐づいている課題管理システムやCI/CDサーバー、その他の連携システムまで芋づる式に影響が及ぶ可能性があります。
最も深刻なCVE-2026-56141(CVSSスコア9.8)は、研究者Ngoc Thuan氏によって報告された脆弱性で、Hubのアカウント復元(パスワードリセット)フローで発行される復元コードが、暗号学的に弱い乱数生成器で作られていたことに起因します。CWE-338(暗号学的に弱い擬似乱数生成器の使用)に分類されるこの不備により、攻撃者は該当するユーザー名やメールアドレスさえ把握できれば、正規の認証情報を一切持たない状態でも復元コードを推測または総当たりし、管理者アカウントを含む任意のアカウントを乗っ取ることが可能でした。Hubが複数のサービスの認証基盤を担っている以上、1つのHubアカウントが乗っ取られるだけで、課題管理ツールやCI/CDサーバーを含む複数のプラットフォームにまたがる不正アクセスへと発展しかねません。
2件目のCVE-2026-50242は、研究者Tuan Anh Lai氏の報告によるもので、データベースへの直接アクセスを悪用した認証バイパスです。CWE-306(重要な機能に対する認証の欠如)に分類され、データベースレベルのロジックを悪用することで、通常のサインイン制御を回避して機密性の高い機能や設定パスに到達できる状態にありました。この脆弱性はYouTrackにも共通するCVE番号が割り当てられており、HubとYouTrackが連携している環境では同様の回避手法が及ぶ可能性がある点が指摘されています。
3件目のCVE-2026-56142は、CWE-915(動的に決定されるオブジェクト属性の不適切な制御による改変)に分類される権限昇格の脆弱性です。認証済みの利用者が、アカウントに紐づく認証情報のマッピングを不正に操作し、より強い認証コンテキストや上位の権限を自分のアカウントに結びつけることができました。HubがSSOブローカーとして機能する環境では、低権限のユーザーがこの手口によって管理者ロールを取得したり、本来アクセスできないプロジェクトやリソースに到達したりするリスクがあったとされています。
これら3件はいずれもHubバージョン2026.1.13757、および2025.x・2024.x系統の対応するパッチで修正されています。修正版では、復元コードの生成に強度の高い乱数を用いる仕組みへの変更、認証マッピングの改変時における厳格なサーバーサイド検証と認可チェックの追加が行われています。
IntelliJ IDEA・GoLand・TeamCityで修正された脆弱性
Hub以外の製品でも複数の脆弱性が修正されています。IntelliJ IDEAでは2件のHigh深刻度の脆弱性が対応されました。CVE-2026-49366はファイル名補完機能を通じて発生するコマンドインジェクション(CWE-78)で、CVE-2026-49367はCode With Me(共同編集機能)のセッションにおいて、低権限のゲストユーザーがホスト側のシステムでコマンドを実行できてしまう認証バイパス(CWE-862)です。いずれもIntelliJ IDEA 2026.1.1で修正されており、JetBrainsは未修正のホスト環境ではゲストとの共同編集機能を無効化し、IDEが扱っていた認証情報のローテーションを行うよう推奨しています。
GoLandでは、信頼できないプロジェクト設定ファイルを読み込む際に発生するリモートコード実行の脆弱性CVE-2026-53915が修正されました。バージョン2026.1.3で対応済みです。ソースの出どころが不明なプロジェクトを開く際に注意が必要な脆弱性であり、社外から入手したコードやオープンソースのリポジトリを不用意に開く運用をしている開発チームは特に警戒が求められます。
TeamCity(On-Premises版)では2件の脆弱性が修正されています。CVE-2026-44413は認証後の権限を悪用する脆弱性(CWE-306)で、特定のファイアウォール構成下ではサーバーのAPIが権限のない第三者からアクセス可能な状態になっていました。TeamCity 2026.1および2025.11.5で修正され、旧バージョン向けにはセキュリティパッチプラグインが提供されています。もう1件のCVE-2026-49373は、Perforce連携設定を経由したコマンドインジェクションによるリモートコード実行の脆弱性です。
YouTrackで修正された脆弱性
課題管理ツールのYouTrackでは、サンドボックス回避によるリモートコード実行の脆弱性CVE-2026-33392が修正されました。この脆弱性はHacktron AIと研究者Rahul Maini氏によって報告されたもので、バージョン2025.3.131383で対応が完了しています。また前述のとおり、Hubと共通のCVE-2026-50242(データベース直接アクセスによる認証バイパス)もYouTrackに影響することが明記されており、Hub連携環境での対応が必要です。
なぜ開発基盤の脆弱性がこれほど重要なのか
サーバサイドエンジニアとして企業の開発基盤の構築・運用に携わってきた経験からいうと、JetBrainsのようなID・課題管理・CI/CDツール群は、開発チームの業務プロセスの中核に位置するインフラです。Hubのような認証基盤が侵害された場合、単一の製品にとどまらず、そこに接続されているソースコード管理・ビルドパイプライン・デプロイメント環境まで芋づる式に危険にさらされる可能性があります。特にTeamCityのようなCI/CDサーバーは、ビルド時に使用する各種の認証情報やデプロイ用のシークレットを保持していることが多く、侵害された場合はソフトウェアサプライチェーン全体への攻撃につながりかねません。
今回のCVE-2026-49367(Code With Meのゲストによるコマンド実行)のように、リモートでの共同編集やペアプログラミングのために導入した機能が、そのまま攻撃の足がかりになり得るという点も見逃せません。開発の利便性を高める機能ほど、外部との接点を増やすことになり、結果として攻撃対象領域を広げてしまうというジレンマが、今回のケースにも表れています。
以前にも当サイトで報じたJetBrains Hubの認証バイパス脆弱性(CVE-2026-25848)を踏まえると、Hubという認証基盤に対する脆弱性の発見は今回が初めてではありません。同じ製品カテゴリーで認証まわりの脆弱性が繰り返し見つかっている状況は、ID基盤特有の複雑さと、そこに対する研究者・攻撃者双方からの継続的な注目の高さを示しています。
情報システム部門が今すぐ確認すべき対応
JetBrainsのアドバイザリによれば、Hub・YouTrack・TeamCity、あるいは影響を受けるデスクトップIDEを自社でホストしているすべての顧客は、直ちに修正済みバージョンへアップグレードすべきとされています。特に強調されているのは、これらの脆弱性のいくつかは認証もユーザーの操作も不要で悪用できるという点です。
具体的な優先順位としては、まずインターネットに公開されているHubインスタンスの更新を最優先で行ってください。Hubは複数のサービスの認証基盤であるため、露出したHubインスタンスの侵害は影響範囲が最も広くなります。次に、機微な認証情報のローテーションを実施し、アカウント復元やアカウントの認証マッピングに関する監査ログを確認して、過去に不審な操作が行われていなかったかを点検してください。あわせて、多要素認証(MFA)を強制することで、たとえ復元コードや認証バイパスが試みられた場合でも被害を軽減できる可能性が高まります。
TeamCityを運用している組織については、ビルド設定で使用している認証情報・トークンのローテーションと、ビルドログおよび設定履歴の中に不審な変更がないかの確認をおすすめします。GoLandやIntelliJ IDEAのようなIDEを利用する開発者に対しては、出どころの不明なプロジェクトやソースコードを不用意に開かないよう、社内のセキュリティポリシーとして周知しておくことも有効な対策です。
出典
- JetBrains Patches Authentication Bypass and Code Execution Attacks in YouTrack and Kotlin – Cyber Press
- JetBrains Patches Critical Hub Authentication Bypass and Account Takeover Vulnerabilities – GBHackers
- Critical JetBrains Vulnerabilities Enable Authentication Bypass and Code Execution Attacks – Cyber Security News
- Fixed security issues – JetBrains(1次ソース)
当サイト関連記事:








