Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en los productos de JetBrains. Entre ellas se encuentran tres de severidad alta. Un actor malicioso podría eludir los mecanismos de seguridad y ejecutar código arbitrario en los sistemas afectados.
Productos afectados
- YouTrack: versiones anteriores a 2026.1.13162
- TeamCity: 2026.x (versiones anteriores a 2026.1.1)
- TeamCity: 2025.x (versiones anteriores a 2025.11.5)
- IntelliJ IDEA: versiones anteriores a la 2026.1.1
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-49368: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables en el componente de servidor de TeamCity. Un actor malicioso remoto con privilegios de usuario estándar podría aprovechar esta condición mediante el envío de solicitudes diseñadas para ejecutar código arbitrario en el servidor host.
CVE-2026-49367: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de control de acceso incorrecto en los endpoints de la API REST de YouTrack. Un actor malicioso remoto podría aprovechar esta condición para eludir los controles de seguridad y realizar la manipulación de datos internos o lograr la escalada de privilegios dentro de la plataforma.
CVE-2026-49366: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada defectuosa en el mecanismo de carga de extensiones de IntelliJ IDEA. Un actor malicioso local podría aprovechar esta condición induciendo al sistema a cargar un archivo de biblioteca diseñado, permitiendo la ejecución de código arbitrario con los privilegios del usuario que ejecuta el IDE.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias