Vulnerabilidades en productos JetBrains

Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en productos de JetBrains. Entre ellas, tres de severidad crítica. Un actor malicioso podría evadir por completo los mecanismos de autenticación, secuestrar cuentas de usuarios o lograr la escalada de privilegios administrativos en los sistemas afectados.

Productos afectados

  • JetBrains Hub versiones 2026.1.x (anteriores a 2026.1.13757), 2025.3.x (anteriores a 2025.3.148033), 2025.2.x (anteriores a 2025.2.148048), 2025.1.x (anteriores a 2025.1.148120), 2024.3.x (anteriores a 2024.3.148430) y 2024.2.x (anteriores a 2024.2.148429)
  • JetBrains GoLand versiones anteriores a la 2026.1.3

Impacto

Las vulnerabilidades se han identificado como:

CVE-2026-50242: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación por falta de mecanismos críticos en JetBrains Hub. Esta permite que, bajo ciertas condiciones de diseño, se pueda interactuar de manera directa con componentes de persistencia o lógica de la base de datos subyacente sin pasar por las comprobaciones de identidad requeridas. Un actor malicioso remoto no autenticado podría aprovechar esta deficiencia para evadir por completo los controles de seguridad perimetrales y obtener acceso con privilegios administrativos globales.

CVE-2026-56141: con una puntuación de 9.8 en CVSS v3.1. Esta vulnerabilidad se da debido al uso de un generador de números pseudoaleatorios criptográficamente inseguro en el mecanismo de recuperación de contraseñas de JetBrains Hub. Un actor malicioso remoto no autenticado podría aprovechar esta deficiencia mediante un análisis matemático de los patrones de generación de tokens para adivinar códigos válidos de restablecimiento y acceder de forma no autorizada a cuentas de usuarios.

CVE-2026-56142: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad de inyección de propiedades de objetos con modificación dinámica de atributos protegidos en JetBrains Hub. Esta se genera durante el proceso de asignación y vinculación de detalles o identidades de autenticación externa a las cuentas locales de usuario, debido a una falta de restricciones sobre los parámetros que un cliente puede declarar. Un actor malicioso remoto autenticado con privilegios mínimos podría aprovechar esta deficiencia enviando solicitudes HTTP diseñadas para inyectar o sobrescribir atributos críticos de seguridad en su perfil de usuario.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-50242
https://www.cve.org/CVERecord?id=CVE-2026-56141
https://www.cve.org/CVERecord?id=CVE-2026-56142
https://www.jetbrains.com/privacy-security/issues-fixed