En bref

  • CVE-2026-56141 (CVSS 9.8) : codes de restauration de compte prévisibles dans JetBrains Hub et YouTrack, permettant la prise de contrôle de n'importe quel compte sans interaction de la victime
  • Combinaison avec CVE-2026-49382 (RCE IntelliJ via template injection) et CVE-2026-49366 (RCE via injection de commande) pour compromettre l'ensemble du pipeline CI/CD
  • Patcher immédiatement tous les produits JetBrains on-premise et auditer les comptes administrateur de Hub et TeamCity

Les faits

JetBrains a publié le 2 juillet 2026 un bulletin de sécurité d'urgence couvrant un ensemble de vulnérabilités critiques et de haute sévérité affectant la quasi-totalité de ses produits on-premise : Hub, YouTrack, TeamCity, IntelliJ IDEA, PyCharm, WebStorm et GoLand. La combinaison de ces failles permet à un attaquant de construire une chaîne d'exploitation allant d'un accès initial non authentifié sur l'interface Hub jusqu'à l'exécution de code arbitraire sur le serveur TeamCity, compromettant l'intégralité de la chaîne de production logicielle d'une organisation.

La vulnérabilité centrale est CVE-2026-56141, notée CVSS 9.8. Elle réside dans le mécanisme de restauration de compte de JetBrains Hub et YouTrack. Lorsqu'un utilisateur demande la réinitialisation de son compte, Hub génère un code de restauration via un générateur de nombres pseudo-aléatoires dont l'entropie est insuffisante. Un attaquant disposant de l'adresse d'un compte cible — y compris d'un compte administrateur — peut énumérer les codes de restauration possibles, identifier le code valide, et prendre le contrôle complet du compte sans connaître le mot de passe, sans interaction de la victime et sans alerter les systèmes de surveillance habituels. Aucune notification n'est envoyée à l'utilisateur légitime lors de l'utilisation du code de restauration par un tiers.

CVE-2026-50242 est une deuxième vulnérabilité de Hub, distincte de CVE-2026-56141, qui permet un bypass d'authentification par accès direct à la base de données interne de Hub dans certaines configurations. Elle aboutit également à l'obtention de droits administrateurs complets sur Hub sans s'authentifier normalement. CVE-2026-56142, une troisième faille dans Hub, permet l'escalade de privilèges via l'attachement de méthodes d'authentification non autorisées à des comptes existants.

Ces trois failles sur Hub et YouTrack seraient déjà suffisamment graves isolément, mais c'est leur combinaison avec les vulnérabilités RCE identifiées dans IntelliJ IDEA qui transforme l'ensemble en chaîne d'exploitation particulièrement dévastatrice. CVE-2026-49382 est une injection de template dans le plugin Copyright d'IntelliJ IDEA, permettant l'exécution de code arbitraire lors du traitement de projets contenant des fichiers de configuration de droits d'auteur malveillants. CVE-2026-49366 est une injection de commande dans la fonctionnalité de complétion automatique des noms de fichiers d'IntelliJ IDEA, menant également à l'exécution de code sur le serveur de build.

La chaîne d'attaque complète documentée par CybersecurityNews et SentinelOne fonctionne comme suit : l'attaquant exploite CVE-2026-56141 ou CVE-2026-50242 pour obtenir un accès administrateur sur Hub, ce qui lui donne accès à YouTrack et à TeamCity. Depuis TeamCity avec des droits administrateurs, l'attaquant peut créer ou modifier des jobs de build, injecter des commandes dans les pipelines de compilation, et déclencher des builds sur les agents connectés. Via CVE-2026-49382 ou CVE-2026-49366, il peut obtenir une exécution de code arbitraire sur le serveur IntelliJ ou sur les agents de build. Le résultat final est le contrôle total du pipeline CI/CD : modification du code source, altération des artifacts de build, compromission des clés de signature de code, et accès aux secrets de déploiement vers les environnements de production.

L'impact sur la chaîne de livraison logicielle est potentiellement comparable en nature à celui de l'incident SolarWinds de 2020, à la différence que la compromission concerne ici l'infrastructure JetBrains d'une organisation individuelle et non un éditeur de logiciels à diffusion massive. Les organisations qui utilisent JetBrains Hub pour la gestion des identités et TeamCity pour la compilation et le déploiement sont directement exposées au risque d'empoisonnement de leurs artifacts, d'injection de backdoors dans leur code, et d'exfiltration de leurs secrets de production via les pipelines de build.

Les produits affectés couvrent toutes les versions de JetBrains Hub, YouTrack, TeamCity, IntelliJ IDEA, PyCharm, WebStorm et GoLand antérieures aux versions corrigées publiées le 2 juillet 2026. Les CVE ont été rapportés à JetBrains par des chercheurs indépendants via le programme de bug bounty de l'éditeur. Aucun PoC public n'a été publié à la date de rédaction, mais la nature des vulnérabilités (numération de codes prédictibles, injection de template) les rend relativement accessibles à des attaquants disposant d'un accès réseau à ces services.

Ces vulnérabilités affectent exclusivement les déploiements on-premise (auto-hébergés) de JetBrains. Les services cloud de JetBrains (JetBrains Space, YouTrack Cloud, TeamCity Cloud) sont gérés et mis à jour directement par l'éditeur et ne sont pas concernés par ces CVE. La surface d'attaque est concentrée sur les organisations qui hébergent leurs propres instances JetBrains, souvent pour des raisons de conformité réglementaire ou de confidentialité du code source.

Impact et exposition

Toute organisation hébergeant des instances JetBrains Hub, YouTrack ou TeamCity on-premise en version antérieure aux correctifs du 2 juillet 2026 est exposée à une compromission complète de son pipeline CI/CD. L'impact le plus critique est la possibilité d'injecter du code malveillant dans des artifacts de build signés et déployés en production sans que les équipes de développement ou de sécurité ne le détectent. Les éditeurs de logiciels, les ESN, les banques et les organisations industrielles utilisant JetBrains on-premise pour leurs développements critiques sont les plus exposés.

Recommandations

  • Appliquer immédiatement les dernières versions corrigées de tous les produits JetBrains on-premise (Hub, YouTrack, TeamCity, IntelliJ IDEA et tous les IDEs JetBrains)
  • Auditer la liste complète des comptes administrateurs de Hub et TeamCity et identifier toute entrée non autorisée
  • Vérifier les logs de TeamCity pour des triggers de build inhabituels ou des modifications de configuration dans les 30 derniers jours
  • Faire pivoter tous les secrets, tokens de build, clés de déploiement et certificats de signature de code stockés dans TeamCity
  • Passer en revue les artifacts de build récents pour détecter d'éventuelles modifications non autorisées (comparaison de hash)
  • Restreindre l'accès réseau aux interfaces d'administration Hub et TeamCity aux seuls réseaux internes de confiance

Alerte critique

La chaîne CVE-2026-56141 + CVE-2026-49382 permet une compromission complète du pipeline CI/CD sans authentification préalable. Si votre organisation utilise JetBrains Hub et TeamCity on-premise, le risque d'empoisonnement de vos builds et d'injection dans vos artifacts de production est concret. Patch et audit immédiat.

Nos instances JetBrains ne sont pas exposées sur Internet — sommes-nous concernés ?

Le risque est moindre mais non nul. Un attaquant ayant compromis un premier poste sur votre réseau interne peut pivoter vers vos instances JetBrains et exploiter ces CVE depuis l'intérieur du réseau. La restriction de l'accès réseau réduit significativement la surface d'attaque, mais la priorité reste d'appliquer les correctifs : une faille non patchée sur votre CI/CD interne reste une bombe à retardement même sans exposition Internet directe. L'audit des comptes administrateurs et la rotation des secrets de build sont indispensables quelle que soit votre topologie réseau.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit