JetBrains Hubに最悪評価10.0の脆弱性 CVE-2026-50242、パスワード無しで管理者乗っ取りの恐れ即更新を
JetBrainsが2026年6月19日、ログイン管理サービスJetBrains Hubに重大な脆弱性を3件公表しました。最も深刻なCVE-2026-50242は10段階満点の10.0で、外部から本人確認をすり抜けて管理者になりすませる恐れがあります。修正版はすでに公開済みです。
堀川 慎
Backend Engineer / AWS / Django / Go
JetBrainsが2026年6月19日、ログイン管理サービスJetBrains Hubに重大な脆弱性を3件公表しました。最も深刻なCVE-2026-50242は10段階満点の10.0で、外部から本人確認をすり抜けて管理者になりすませる恐れがあります。修正版はすでに公開済みです。
開発ツール大手のJetBrainsが2026年6月19日、同社のログイン管理サービス「JetBrains Hub」に重大な脆弱性を3件まとめて公表しました。最も深刻なものは10段階評価で満点の10.0がつき、外部から本人確認をすり抜けて管理者として入り込めてしまう内容です。残る2件も9.8と9.9という極めて高い評価で、いずれも他人や管理者になりすませる系統です。修正版はすでに公開されています。社内サーバーやクラウドに自前でHubを立てている企業は、今すぐ最新版への更新が必要です。
JetBrains Hubは、課題管理ツール「YouTrack」やビルド・テスト自動化ツール「TeamCity」など、JetBrainsのチーム向け製品のログインとアカウントをひとまとめに管理する土台です。1つのIDで複数のツールにまとめて入れるようにする「シングルサインオン」の中枢にあたります。そのログインの根っこに、本人確認を飛び越えられる穴が同時に3つ見つかった、というのが今回の出来事です。3件はそれぞれCVE-2026-50242、CVE-2026-56141、CVE-2026-56142という管理番号が割り当てられています。CVE番号とは、世界共通で脆弱性につける通し番号のことです。
幸い、今回は前述のとおりJetBrainsの公式セキュリティ告知と同時に修正版が出ています。実際に攻撃された記録(米政府機関が公開する「実際に攻撃されている脆弱性リスト」への掲載)も、公表時点では確認されていません。とはいえ、満点の10.0という評価は「攻撃が成立すれば被害が極めて大きく、しかも難易度が低い」ことを意味します。攻撃手順が公開されてから慌てるのではなく、攻撃者が動き出す前に塞ぐべき類のものです。
JetBrains Hubとは何か
JetBrainsは、プログラマーが日々使う開発ソフトの大手です。コードを書くための「IntelliJ IDEA」やPython用の「PyCharm」など、日本でも非常に多くの開発現場で使われている製品を提供しています。今回問題になったHubは、その中でも開発チーム向けの製品群を束ねる「ID(アカウント)の中央管理」を担う部分です。
具体的には、バグや作業を管理するYouTrack、プログラムを自動でビルド・テスト・配信するTeamCityといったツールに対し、Hubが「この人は誰で、どこまでの権限を持つか」を一括で管理します。利用者から見れば、Hubに一度ログインすれば配下のツールすべてに入れる便利な仕組みです。裏を返せば、Hubの管理者権限を奪われると、配下のツールすべてに管理者として入り込めてしまうということでもあります。月額課金のクラウド型ID基盤(OktaやAuth0など)を使わず、自社のサーバーやクラウド上にJetBrainsのツールを自前で立てて運用している組織で広く使われています。
今回の3件は、その「IDの中央管理」の本人確認・権限管理の処理に集中しています。ログインの土台が破られると、その先のYouTrackに書かれた社内のやり取りや、TeamCityが握るプログラムの配信権限まで芋づる式に危険にさらされます。だからこそ、満点評価がつくほど深刻に受け止められています。
開発の最終ゲートを握られた時、ビルドに何が混ぜ込まれるのか
満点の10.0という数字だけ見ても、ピンと来ないかもしれません。そこで、この穴が現実にどんな相手の手に渡り、何のために使われるのかを攻撃者の側から見てみます。Hubが守っているのは単なるログイン画面ではなく、製品を世に出す「最後のゲート」だからです。
この穴を本気で欲しがるのは、身代金目的で会社のデータを丸ごと暗号化するランサムウェア集団、特定企業の製品に不正なコードを仕込んで利用者にばらまく国家支援型の攻撃グループ、社内事情を知り尽くした退職直後の元開発者、そして奪ったアクセス権を闇市場で売りさばくブローカーです。彼らが狙うのは、製品のソースコードそのもの、ビルドした成果物に署名する鍵、本番サーバーへ配信するためのパスワード、クラウドのAPIキー、そしてYouTrackに残されたまだ公表していないバグや脆弱性の議論です。CVE-2026-50242で入口の本人確認がすり抜けられた瞬間、これらを束ねる管理画面の主導権が、そのまま攻撃者の手に移ります。
怖いのは、被害がデータの盗み出しで終わらない点です。TeamCityのようなビルド・配信の自動化基盤を握られると、攻撃者は正規のビルド工程に紛れて不正なコードを混ぜ込めます。これは「サプライチェーン攻撃」と呼ばれ、汚染された製品をそのまま受け取った先の顧客や利用者にまで被害が広がる、最も波及の大きい手口です。正規の社員アカウントとして行われるため、ログ上は通常の開発作業と見分けがつきにくく、気づいた時には署名済みの偽アップデートが配られている、という事態すら起こり得ます。退職者のアカウントが消し忘れられていれば、その経路は何ヶ月も気づかれないまま生き続けます。
CVSS 10.0という満点は、あくまで技術的な深刻度の最大値を示すラベルにすぎません。開発チームにとって本当に失われるのは、何年もかけて積み上げた製品のソースと、それを「安全に配っている会社だ」と信じてくれていた顧客の信頼です。自社の製品に毒を盛る道具として開発基盤を使われるのが、この脆弱性の最悪のシナリオです。
3件の脆弱性は何か(CVE別の中身)
3件はいずれも「本人確認をすり抜ける」「他人や管理者になりすます」系統です。JetBrainsの告知は内容を簡潔にしか説明していないため、ここでは公表された記述に沿って、それぞれが何を許してしまうのかを整理します。攻撃の具体的な手順は公開されていません。
CVE-2026-50242: 本人確認を飛び越えて管理者になれる(評価10.0)
3件のうち最も深刻な、満点評価の脆弱性です。JetBrainsは「データベースへの直接アクセスを経由した認証回避により、管理者権限の取得が可能だった」と説明しています。認証回避とは、本来必要なログインや本人確認の手続きを通らずに中へ入れてしまうことです。評価が満点の10.0まで上がっているのは、攻撃にあたって特別な権限が要らず(事前のログイン不要)、利用者の操作も不要で、しかも被害がHub単体にとどまらず配下のツールにまで及ぶ(影響範囲が広がる)と判定されたためです。深刻度を示す指標CVSSの内訳はNVD(米国立標準技術研究所の脆弱性データベース)で確認できます。分類上は「重要な機能に本人確認がかかっていない」タイプ(CWE-306)にあたります。
CVE-2026-56141: パスワードを「予測」してアカウントを乗っ取れる(評価9.8)
パスワードを忘れた時などに使う「アカウント復旧用のコード(リストアコード)」が、予測できてしまう作りになっていた脆弱性です。本来こうしたコードは、誰にも当てられないようランダムに作られていなければなりません。ところが値の作り方が甘く、攻撃者が次に発行されるコードを推測できる状態でした。これを突くと、事前のログインも利用者の操作もなしに、他人のアカウントを乗っ取れてしまいます。評価は9.8。技術的には「暗号用途に弱い乱数を使っている」タイプ(CWE-338)に分類されます。NVDの該当ページに詳細があります。
CVE-2026-56142: 一般ユーザーから管理者へ権限を引き上げられる(評価9.9)
3件の中で2番目に高い9.9の評価がついた脆弱性です。JetBrainsは「認証情報をアカウントに紐づけることで権限昇格が可能だった」と説明しています。権限昇格とは、本来は限られた権限しか持たない一般利用者が、管理者など上位の権限を不正に手に入れてしまうことです。すでにHubにログインできるアカウントがあれば、そこから自分の権限を引き上げられる恐れがありました。9.9という高さは、被害がHub単体を越えて配下のツールに波及する(影響範囲が広がる)と判定されたことを反映しています。NVDのページでは、分類は「動的に決まるオブジェクトの属性を不正に書き換えられる」タイプ(CWE-915)とされています。
3件は単独でも危険ですが、組み合わさるとさらに厄介です。たとえばCVE-2026-56141で一般アカウントを乗っ取り、CVE-2026-56142でその権限を管理者まで引き上げる、といった連鎖が考えられます。ログインの中枢にこれだけの穴が同時に開いていたという事実そのものが、早急な更新を促す理由になります。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-50242(10.0) CVE-2026-56142(9.9) CVE-2026-56141(9.8) |
| 対象製品 | JetBrains Hub (YouTrack / TeamCity の ログイン・アカウント管理) |
| 脆弱性の系統 | 認証回避・なりすまし・ 権限昇格 (CWE-306 / 338 / 915) |
| 影響バージョン | 下表の修正版より前の すべてのバージョン |
| 修正バージョン | 2026.1.13757 ほか (下の早見表を参照) |
| 公開日 | 2026年6月19日 |
| 悪用の確認 | 米CISA KEVに未登録 (実際の攻撃は未確認) |
| 対応 | 修正版あり (速やかな更新を推奨) |
3件はいずれも、ネットワーク経由で攻撃できる(社内ネットワークやインターネット越しに届く)点が共通しています。とくにCVE-2026-50242とCVE-2026-56141は、攻撃者が事前にアカウントを持っていなくても成立する評価になっており、外部からの侵入口になり得ます。米CISA(米国土安全保障省のサイバーセキュリティ機関)が公開する、実際に攻撃が確認された脆弱性のリスト「KEV」には、本記事執筆時点でこの3件は登録されていません。ただし満点評価の脆弱性は攻撃者の関心も高く、状況は変わり得ます。
自分の環境は危ないのか(バージョン別の早見表)
JetBrainsは複数の世代(リリース系列)それぞれに対して修正版を出しています。自社で使っているHubがどの系列かを確認し、対応する修正版以上に上げてください。下の表の右側の数字より前のバージョンは、すべて影響を受けます。
| 利用中のHubの系列 | これ以上に更新すれば安全 | 対応 |
|---|---|---|
| 2026.1 系 | 2026.1.13757 | 最新系列。即更新 |
| 2025.3 系 | 2025.3.148033 | 即更新 |
| 2025.2 系 | 2025.2.148048 | 即更新 |
| 2025.1 系 | 2025.1.148120 | 即更新 |
| 2024.3 系 | 2024.3.148430 | 即更新 |
| 2024.2 系 | 2024.2.148429 | 即更新 |
| これより古い系列 | — | サポート対象の 系列へ移行を検討 |
JetBrainsはサポート中の各系列に修正を反映しているため、いま使っている世代から飛び越えてアップグレードする必要はありません。同じ系列の修正版に上げるだけで構いません。YouTrackやTeamCityにHubが組み込まれた構成で運用している場合は、それぞれの製品の更新案内もあわせて確認してください。なお、JetBrainsのクラウド版(同社が運用するホスティング)を使っている場合は、提供側で対応されるため利用者側の作業は基本的に不要です。
いますぐやるべきこと
今回は修正版が出ているため、対応の軸は「速やかに更新する」ことです。自社でHub(およびHubを含むYouTrack・TeamCity)を運用している場合は、次の手順を検討してください。
1. まず修正版へ更新する。 上の早見表で自社の系列に対応する修正版を確認し、できるだけ早く適用します。満点評価のCVE-2026-50242は事前のログインなしで悪用され得るため、インターネットに公開しているHubは特に優先度が高くなります。
2. すぐ更新できない場合は外部からの接続を絞る。 メンテナンス時間の都合などで即時更新が難しい場合は、Hubの管理画面やログイン窓口へのアクセスを社内ネットワークやVPN経由に限定し、インターネットからの直接アクセスを一時的に遮断します。攻撃が届く経路を狭めることが、更新までの時間稼ぎになります。
3. 管理者アカウントと不審なログインを点検する。 身に覚えのない管理者アカウントが増えていないか、見覚えのないログインや権限変更の記録がないかを確認します。CVE-2026-56142は権限の引き上げ、CVE-2026-56141はアカウント乗っ取りにつながるため、更新前にすでに悪用されていなかったかを点検しておくと安心です。
4. 配下のツールの重要情報を入れ替える。 Hubが破られていた可能性が拭えない場合は、TeamCityが握る配信用パスワードやAPIキー、ビルドの署名鍵といった重要情報を念のため再発行します。退職者・異動者のアカウントが残っていないかの棚卸しも、この機会に済ませておきます。
ログインの中枢は、攻撃者から見れば「ひとつ開ければ社内の全部屋に入れる合鍵」です。今回のように、本人確認をすり抜ける穴は他のログイン基盤でも繰り返し見つかっています。少し前にはオープンソースのログイン基盤に同種の穴が9件まとめて見つかったCasdoorの事例や、社内設置型でのGitLabのアカウント乗っ取りもありました。ログイン基盤を自社で動かしている組織は、修正版の適用と同時に、受け付けるログイン経路とアカウントの棚卸しを定期的に見直しておくことをおすすめします。
参照元
- ▸JetBrains - Fixed security issues(公式セキュリティ告知)(2026年6月19日)
- ▸NVD - CVE-2026-50242(認証回避による管理者権限取得・10.0)
- ▸NVD - CVE-2026-56141(予測可能な復旧コードによるアカウント乗っ取り・9.8)
- ▸NVD - CVE-2026-56142(認証情報の付与による権限昇格・9.9)
- ▸CIRCL Vulnerability-Lookup - CVE-2026-50242
- ▸JetBrains Hub 製品ページ
- ▸CISA - Known Exploited Vulnerabilities Catalog(未登録の確認)