CRITICAL✓ PATCH🇬🇧 English

CVE-2026-25848

JetBrains Hub — pominięcie uwierzytelniania umożliwiające działania administracyjne

CVSS 9.1v3.1pub. 2026-02-09upd. 2026-02-18

W JetBrains Hub przed wersją 2025.3.119807 możliwe było ominięcie mechanizmu uwierzytelniania, co pozwalało nieuprawnionej osobie na wykonywanie działań administracyjnych. Podatność jest krytyczna ze względu na brak wymagania jakichkolwiek poświadczeń przez sieć.

Pokaż oryginał (EN)

In JetBrains Hub before 2025.3.119807 authentication bypass allowing administrative actions was possible

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) oznacza, że określone funkcje lub endpointy administracyjne w JetBrains Hub nie wymagały prawidłowego uwierzytelnienia przed ich wykonaniem. Atakujący zdalnie, bez podawania danych logowania, mógł wywołać krytyczne operacje zarezerwowane dla administratorów. Wektor ataku sieciowy (AV:N), brak wymagań co do złożoności (AC:L) oraz brak konieczności posiadania uprawnień (PR:N) i interakcji użytkownika (UI:N) czynią tę podatność szczególnie niebezpieczną.

Skutki

Atakujący bez uwierzytelnienia może wykonywać uprzywilejowane działania administracyjne, co prowadzi do wysokiego ryzyka naruszenia poufności i integralności danych zarządzanych przez JetBrains Hub, w tym potencjalnego przejęcia kontroli nad zarządzaniem użytkownikami i uprawnieniami.

Mitygacja

Należy niezwłocznie zaktualizować JetBrains Hub do wersji 2025.3.119807 lub nowszej. Szczegóły dostępne są na stronie producenta: https://www.jetbrains.com/privacy-security/issues-fixed/

Kogo dotyczy

JetBrains Hub we wszystkich wersjach przed 2025.3.119807

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Jetbrains Hub

    APP
    Jetbrains
    < 2025.3.119807
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-56142CRITICAL9.9ten sam produkt

In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.14842...

CVE-2026-50242CRITICAL10.0ten sam produkt

In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.14842...

CVE-2026-56141CRITICAL9.8ten sam produkt

In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.14842...

CVE-2022-25260CRITICAL9.1ten sam produkt

JetBrains Hub before 2021.1.14276 was vulnerable to blind Server-Side Request Forgery (SSRF).

CVE-2022-25262CRITICAL9.8ten sam produkt

In JetBrains Hub before 2022.1.14434, SAML request takeover was possible.

CVE-2026-25848 — JetBrains Hub — pominięcie uwierzytelniania umożliwiające działania administracyjne — CRITICAL 9.1 | CVEbaza.pl