JetBrains 製品の重大脆弱性 2026年7月 - Hub/YouTrack のアカウント乗っ取りと IntelliJ IDEA の RCE

JetBrains 製品の重大脆弱性 2026年7月 - Hub/YouTrack のアカウント乗っ取りと IntelliJ IDEA の RCE

作成日:
読了:17
更新日:
この記事を読む人におすすめPR / Amazonアソシエイト

当サイトは Amazon.co.jp を宣伝しリンクすることで紹介料を得る手段を提供する、Amazonアソシエイト・プログラムの参加者です。価格・在庫はリンク先の最新情報をご確認ください。

開発現場で広く使われている JetBrains 製品群に、深刻な脆弱性がまとめて見つかりました。中でも重いのが、認証基盤である JetBrains Hub と、それを内包する YouTrack のアカウント乗っ取り・認証バイパスです。加えて、IDE 本体である IntelliJ IDEA でもリモートコード実行(RCE)につながる複数の欠陥が修正されています。JetBrains は2026年6月下旬から7月初頭にかけてこれらの告知と修正版の提供を進め、セキュリティ各社も2026年7月2日前後に相次いで報じました。

Hub は YouTrack や TeamCity など複数製品の認証・認可を束ねる基盤です。そのため Hub のアカウント乗っ取りは、単一サービスの侵害にとどまらず、連携する開発・DevOps 基盤全体の掌握につながりえます。本記事では、確認できた一次〜準一次情報だけをもとに、何が起きたのか、そして JetBrains 製品を運用しているエンジニアが今すぐ何をすべきかを整理します。過去に扱ったAdobe ColdFusion の緊急パッチ APSB26-68SharePoint Server の RCE 脆弱性 CVE-2026-45659と同様、認証欠陥とサーバ側 RCE は最優先で塞ぐべき脆弱性クラスです。

NOTE

本記事の CVE 番号・CVSS 値・CWE・バージョン情報は、JetBrains の YouTrack セキュリティ告知(blog.jetbrains.com)、NVD(nvd.nist.gov)、SentinelOne Vulnerability Database、および GBHackers・CyberPress・Cybersecurity News の解説で2026年7月時点に確認した内容です。複数ソースで一致を確認できたものだけを断言し、確定できなかった数値は「要確認」と明示しています。最新かつ正確な情報は必ず JetBrains の該当告知と NVD でご確認ください。

概要(まず結論)

  • 何が: JetBrains Hub / YouTrack の認証系脆弱性と、IntelliJ IDEA など IDE の RCE 脆弱性。
  • 最も重い脆弱性: Hub のアカウント乗っ取り CVE-2026-56141(CVSS 9.8)と認証バイパス CVE-2026-50242。
  • 種別: 予測可能な復元コード(CWE-338)、認証の欠落(CWE-306)、権限昇格(CWE-915)、テンプレートインジェクション(CWE-1336)、OS コマンドインジェクション(CWE-78)。
  • 影響の広さ: Hub は認証基盤のため、乗っ取りが YouTrack・TeamCity など連携先や CI/CD へ波及しうる。
  • Hub/YouTrack Server 修正版: 2026.1.13757、および LTS ブランチへのバックポート(後述)。
  • IntelliJ IDEA 修正版: CVE-2026-49382 は 2026.1、CVE-2026-49366 などは 2026.1.1。
  • 悪用状況: JetBrains は「テスト環境の外での悪用の証拠は確認していない」としています。

対策の要点を先に言えば、Hub / YouTrack Server を 2026.1.13757 か該当 LTS のバックポート版へ更新すること、そしてIntelliJ IDEA を含む IDE を最新へ更新し、信頼できないプロジェクトを安易に開かないことです。詳細は後述します。

影響を受ける製品とバージョン

今回のクラスタは大きく2系統に分かれます。

1. 認証基盤系(Hub / YouTrack)

Hub は認証・認可の中核で、YouTrack は Hub を内包します。JetBrains によれば、修正済みビルドは 2024.2 以降のサポート対象バージョンで提供され、それより古いものは 2024.2 以降へアップグレードが必要です。修正版は以下の通りで、Hub と YouTrack Server で同じビルド番号が案内されています。

  • 最新: 2026.1.13757
  • LTS バックポート: 2025.3.148033 / 2025.2.148048 / 2025.1.148120 / 2024.3.148430 / 2024.2.148429
2. IDE / CI ツール系
  • IntelliJ IDEA: 2026.1 未満(CVE-2026-49382)、2026.1.1 未満(CVE-2026-49366 ほか)。修正版はそれぞれ 2026.1 / 2026.1.1。
  • GoLand・TeamCity なども同時期のクラスタに含まれます。これらの一部については CVE 番号は確認できたものの、CVSS の確定値までは本記事執筆時点で裏取りできていません(要確認)。後述の一覧で扱います。

WARNING

YouTrack Server を運用している場合、Hub 側の認証バイパス CVE-2026-50242 は YouTrack にも影響するとされています。YouTrack を「アプリだけ」と捉えず、内包する Hub の認証層まで含めて更新対象と考えてください。

主要 CVE の解説

複数ソースで一致を確認できた主要な脆弱性を表に整理します。CVSS はソースにより表記が分かれるものがあり、その場合は併記しています。

CVECVSS種別(CWE)影響製品修正版
CVE-2026-561419.8予測可能な復元コード(CWE-338)Hub / YouTrack2026.1.13757 ほか
CVE-2026-502429.8(NVD)/ 10.0(JetBrains)認証バイパス(CWE-306)Hub / YouTrack2026.1.13757 ほか
CVE-2026-561428.8(NVD)/ 9.9(JetBrains)権限昇格(CWE-915)Hub2026.1.13757 ほか
CVE-2026-493827.8テンプレートインジェクション RCE(CWE-1336)IntelliJ IDEA2026.1
CVE-2026-493667.8OS コマンドインジェクション RCE(CWE-78)IntelliJ IDEA2026.1.1
CVE-2026-56141: アカウント乗っ取り(CVSS 9.8)

Hub のアカウント復元(account-restore)フローで生成される復元コードが、暗号学的に弱い擬似乱数生成器で作られていました(CWE-338)。コードの乱雑さが不足しているため、攻撃者が有効なコードを予測・総当たりして、認証不要で任意のアカウント(管理者を含む)を乗っ取れる、というのが本質です。CVSS ベクトルは AV:N/AC:L/PR:N/UI:N、すなわちネットワーク経由・低複雑度・認証不要・ユーザー操作不要で、悪用の前提が最小です。

CVE-2026-50242: 認証バイパス(CVSS 9.8 / 10.0)

「直接的なデータベースアクセス」を悪用して認証を回避し、管理者権限を得られる欠陥です(CWE-306、重要機能における認証の欠落)。NVD は 9.8、CNA である JetBrains 自身はスコープ変化を含めて 10.0 と評価しており、スコアの差はこの CVSS スコープ(S:CS:U か)の解釈差に起因します。いずれにせよ最上位クラスの深刻度です。

CVE-2026-56142: 権限昇格(CVSS 8.8 / 9.9)

認証情報をアカウントへ紐付ける処理の不備を突く権限昇格です(CWE-915)。認証済みの低権限ユーザーが、連携する認証レコードを操作して自らの権限を引き上げられます。Hub が SSO ブローカーとして中心に置かれた環境では、低権限ユーザーが管理者ロールや制限付きプロジェクトへ到達しうる、と指摘されています。CVSS は前提として PR:L(低権限が必要)が付く点が、認証不要の前2件との違いです。

CVE-2026-49382 / CVE-2026-49366: IntelliJ IDEA の RCE

いずれも「悪意あるプロジェクトを開く」ことが起点の RCE です。CVE-2026-49382 は Copyright プラグインのテンプレート処理で式が適切にサニタイズされず、細工した copyright プロファイルを含むプロジェクトを開くと任意コードが実行されます(CWE-1336)。CVE-2026-49366 はファイル名補完の処理でシェルのメタ文字が無害化されず、攻撃者が用意したファイル名にコマンドが仕込まれていると、補完操作をきっかけに OS コマンドが実行されます(CWE-78)。どちらもローカルアクセスとユーザー操作が前提(AV:L/UI:R)で CVSS は 7.8 です。

このほか、IntelliJ IDEA では Code With Me コラボレーション中のゲスト権限からホスト側でコマンド実行を許す認可欠陥(CVE-2026-49367、CWE-862)、GoLand では信頼できないプロジェクト設定の読み込みによる RCE(CVE-2026-53915)、TeamCity では特定のファイアウォール構成下でサーバ API が未認証で露出する欠陥(CVE-2026-44413、CWE-306)や Perforce 接続設定経由のコマンドインジェクション RCE(CVE-2026-49373)も同時期に扱われています。これらは CVE 番号は確認できましたが、CVSS の確定値は本記事執筆時点で裏取りできていないため数値は載せません(要確認)。詳細は各製品の告知でご確認ください。

技術的背景: なぜ「予測可能なコード」が乗っ取りになるのか

CVE-2026-56141 の核心は、アカウント復元コードのランダム性の不足です。パスワードリセットやアカウント復元では、本人にだけ届く「推測できないトークン」を発行し、それを提示できた人物を本人とみなします。この前提が崩れると、攻撃者はトークンを当てるだけで本人になりすませます。

危険なのは、次のように「セキュリティ用途のトークンを、暗号学的に安全でない乱数で作る」パターンです。あくまで危険性を説明するための擬似コードであり、実際の攻撃コードではありません。

// アンチパターン: セキュリティトークンを java.util.Random で生成する
// 種(シード)や出力系列が推測可能で、攻撃者が次のコードを予測しうる
Random rng = new Random(System.currentTimeMillis()); // 予測可能なシード
String restoreCode = String.valueOf(rng.nextInt(1_000_000)); // 桁数も少なく総当たり可能

安全な実装では、java.security.SecureRandom のような暗号学的に安全な乱数源を使い、十分な長さ(エントロピー)を確保し、有効期限と試行回数制限(レートリミット・ロックアウト)を併用します。予測困難性と総当たり耐性は、どちらか一方では不十分です。乱数や鍵の「予測されにくさ」がなぜセキュリティの土台になるのかは、公開鍵暗号と電子署名の仕組みもあわせて読むと理解が深まります。

なお、CVE-2026-56141 の具体的な実装詳細や PoC は、本記事執筆時点で一次情報として確定できていません(未確認)。ここで述べたのは「予測可能なトークン」による乗っ取り一般の仕組みです。

攻撃シナリオとリスク

今回のクラスタが厄介なのは、認証基盤とサプライチェーンの両面に刺さる点です。

  • 認証基盤の掌握: Hub のアカウント乗っ取り・認証バイパスに成功すると、Hub が認証を束ねる YouTrack・TeamCity などへ横断的にアクセスされうる。CI/CD パイプラインの改ざんや機密プロジェクトへのアクセスにつながる。
  • ビルドの汚染: TeamCity のような CI に到達されれば、成果物へ悪意あるコードを混入させる「ビルド汚染」が現実味を帯びる。開発基盤の侵害は、その先の利用者まで巻き込むサプライチェーン攻撃の起点になる。
  • 開発者端末の侵害: IntelliJ IDEA / GoLand の RCE は「悪意あるリポジトリを開く・クローンする・アーカイブを展開する」ことが起点。実行されれば、ソースコード・認証情報・SSH 鍵・クラウドのトークンが窃取されうる。

開発ツールを狙う攻撃が最終的に実害へ至る流れは、Cursor の DuneSlide による RCE 事例2026年の主要セキュリティインシデントまとめでも触れています。開発環境は「内部だから安全」という思い込みが最も危険な領域です。

いますぐやること(アップグレード手順・確認方法)

対応の優先順位は明確です。アップグレードが最優先で、それ以外は補助的な緩和・検知です。

1. Hub / YouTrack Server を更新する(最優先)

自己ホスト(オンプレミス)で Hub や YouTrack Server を運用している場合、2026.1.13757 か、運用ブランチに対応する LTS バックポート版へ更新します。まず現行バージョンを棚卸ししてください。バージョンは管理画面のシステム情報や、サーバの <install>/version.txt 相当の情報から確認できます。取得したビルド番号を上掲の修正版一覧と突き合わせ、該当ブランチの修正ビルド以上かを判断します。

WARNING

本番へ適用する前に、必ずバックアップとステージング検証を行ってください。Hub はほかの製品の認証を束ねるため、更新の失敗が連携製品のログイン不能につながりえます。

2. IDE(IntelliJ IDEA など)を更新する

IntelliJ IDEA は 2026.1.1 以上へ更新します(CVE-2026-49382 のみなら 2026.1 で修正されますが、49366 ほかも塞ぐため 2026.1.1 以上を推奨)。GoLand なども各製品の最新へ更新してください。組織で Toolbox App や集中管理を使っている場合は、配布ポリシーで一斉更新を進めるのが確実です。開発者端末だけでなく、ビルドエージェント上の IDE / ツールチェーンも更新対象に含めてください。

3. 復元・認証まわりの点検
  • Hub の管理者・特権アカウントに身に覚えのないログインやアカウント復元の痕跡がないか、監査ログを確認する。
  • 疑わしい場合は特権アカウントのパスワードとセッションを失効させ、必要に応じてトークンを再発行する。
  • Hub / YouTrack / TeamCity を不要にインターネットへ露出させていないか見直す。

再発防止・自衛策

  • 認証基盤を外部露出させない: Hub・YouTrack・TeamCity は VPN やゼロトラストアクセスの背後に置き、公開は必要最小限にする。
  • 信頼できないプロジェクトを安易に開かない: IntelliJ IDEA の Safe Mode(信頼できないプロジェクトの隔離)を活用し、素性の不明なリポジトリはビルドや補完を走らせる前に中身を確認する。
  • IDE / ツールの更新を運用に組み込む: 開発ツールは「入れっぱなし」になりがち。Toolbox App や MDM での集中更新を仕組み化する。
  • ビルドエージェントの監視: CI/CD の実行環境から想定外の子プロセス(シェル起動など)が出ていないか、EDR やパイプラインの監査で監視する。

まとめ

2026年7月に公表された JetBrains のクラスタは、認証基盤 Hub のアカウント乗っ取り(CVE-2026-56141、CVSS 9.8)・認証バイパス(CVE-2026-50242)を中心に、IntelliJ IDEA の RCE(CVE-2026-49382/49366)まで及ぶ、開発基盤全体に関わる内容です。Hub の掌握は連携製品や CI/CD へ波及しうるため、影響は単一サービスにとどまりません。

  • 今すぐやること: Hub / YouTrack Server のバージョン棚卸しと、特権アカウントの監査ログ確認。
  • まだなら: Hub / YouTrack Server を 2026.1.13757 か該当 LTS へ、IntelliJ IDEA を 2026.1.1 以上へ更新する。
  • 並行して: 認証基盤の外部露出の見直し、信頼できないプロジェクトの取り扱いルール化、ビルドエージェントの監視。

本記事の一部 CVE の CVSS 確定値や、個別の実装詳細・悪用状況は一次情報で確定できていない部分があり、それらは「要確認」「未確認」と明示しました。確定情報は JetBrains の告知と NVD の一次ソースでご確認ください。

参考リンク

関連記事

Adobe ColdFusion の緊急パッチ APSB26-68 - CVSS 10.0 が6件並ぶ認証不要 RCE と実務対応

Adobe ColdFusion の緊急パッチ APSB26-68 - CVSS 10.0 が6件並ぶ認証不要 RCE と実務対応

12

Adobe が2026年6月30日に公開した ColdFusion のセキュリティ速報 APSB26-68 を一次〜準一次情報で整理します。11件の脆弱性のうち6件が CVSS 10.0、多くが認証不要でのリモートコード実行(RCE)につながる深刻な内容です。CVE-2026-48276 などの不正ファイルアップロードやパストラバーサルの中身、影響を受ける ColdFusion 2025/2023 のバージョン、Update 10/21 への更新と緩和・検知の実務をまとめます。