
JetBrains Hub 三個重磅漏洞已補:開發團隊唔好淨係升 IDE
Hub 管住 SSO 同權限,自架服務要即刻排期處理
Hub 唔係可有可無嘅配套工具
iThome 報道,JetBrains 近日公開 Hub 安全修補,三個洞都係 Critical。表面睇似係一個 JetBrains 產品更新,但 Hub 嘅位置唔係「又一個後台」咁簡單:官方文件講明,Hub 會幫 YouTrack Server、TeamCity 同其他服務做用戶驗證、SSO、群組、角色同權限管理。即係話,若果你公司用 Hub 做身份中樞,出事時受影響唔只係登入畫面,仲有邊個可以睇 issue、改 build、拎 admin 權限呢啲基本控制。

圖片:JetBrains Hub Documentation
三個洞點解麻煩
今次最惡嗰個係 CVE-2026-50242,JetBrains 作為 CNA 畀 CVSS 10.0,講緊直接 access database 可以繞過驗證,最後去到 admin access。第二個 CVE-2026-56141 係 restore code 隨機性唔夠,分數 9.8,意思係帳號復原流程本身變成攻擊入口。CVE-2026-56142 分數 9.9,已登入用戶可能用加入 authentication details 嘅方法拉高權限。三個漏洞加埋,未登入攻擊、帳號接管、登入後升權都有機會中招。

圖片:JetBrains Hub Documentation
版本要對 build number
JetBrains 官方修補清單列出同一批修補分支:2026.1.13757、2025.3.148033、2025.2.148048、2025.1.148120、2024.3.148430、2024.2.148429。NVD 再拆到每條線嘅受影響起點,2024.2.33606、2024.3.44799、2025.1.62455、2025.2.86069、2025.3.104432 同 2026.1.12024 起,去到頭先嗰批修補版之前都算受影響。講人話:你唔係只要睇「有冇 2026.1」,而係要對清楚 build number。

圖片:JetBrains Hub Documentation
IT admin 要睇埋設定
實際處理上,IT admin 應該先盤點有冇自架 Hub,尤其係同 YouTrack Server、TeamCity、Space、Datalore 或第三方 SAML/OAuth/LDAP login 串埋嘅環境。升級之外,要睇一次 Auth Modules 頁面:邊個 provider 做 default、註冊有冇開、2FA 要求有冇落喺正確群組、舊 LDAP/OAuth module 係咪仲留喺度。今次其中一個漏洞掂到帳號復原碼,重設密碼同 restore code 相關 policy 都值得重新檢查。
未見大規模利用,都要先升級
公開資料暫時未見 JetBrains 或 CISA 話呢三個 CVE 已經俾人大規模利用;NVD 入面 CISA ADP 嘅 SSVC 記錄亦寫 exploitation 係 none。不過分數已經足夠叫人優先處理,因為 Hub 唔係終端用家部機入面嘅單點工具,而係好多內部工程流程嘅入口。開發工具鏈近年成日俾人當供應鏈入口,TeamCity 之前亦多次成為高風險目標,身份中樞再爆 Critical,延遲升級真係冇乜著數。
升完版之後,仲要查權限
升到修補版之後,唔好即刻當完事。最少要翻一次 admin、系統群組、永久 token、OAuth client、SAML certificate、LDAP mapping 同服務帳號權限,睇有冇異常新增或權限變大。若果 Hub 有對外開放 login,亦要檢查 access log 入面有冇大量復原碼、重設密碼、登入失敗、auth module 切換記錄。呢件事最適合用做一次身份權限清倉:升版係止血,盤清楚邊個有咩權限先至係收尾。
參考來源
- iThome — JetBrains修補開發環境身分管理平臺重大漏洞,未更新恐導致帳號接管與權限提升 — original report
- JetBrains Fixed Security Issues — 官方修補清單,核對三個 CVE 同修補版本。
- JetBrains Issues Fixed Data — JetBrains 頁面背後嘅官方資料,列出 Hub 三個 Critical 記錄。
- NVD:CVE-2026-50242 — 核對 CVSS、CWE、受影響 CPE 範圍同 CISA ADP SSVC 記錄。
- NVD:CVE-2026-56141 — 核對帳號接管漏洞描述、CVSS 分數同受影響版本。
- NVD:CVE-2026-56142 — 核對權限提升漏洞描述、CVSS 分數同受影響版本。
- JetBrains Hub Documentation:Introduction — 核對 Hub 管用戶、SSO 同連接服務嘅角色。
- JetBrains Hub Documentation:Auth Modules — 核對 SAML、OAuth、LDAP、default auth、2FA 同 auth module 設定背景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







