W JetBrains Hub przed wersją 2025.3.119807 możliwe było ominięcie mechanizmu uwierzytelniania, co pozwalało nieuprawnionej osobie na wykonywanie działań administracyjnych. Podatność jest krytyczna ze względu na brak wymagania jakichkolwiek poświadczeń przez sieć.
▸ Pokaż oryginał (EN)
In JetBrains Hub before 2025.3.119807 authentication bypass allowing administrative actions was possible
Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) oznacza, że określone funkcje lub endpointy administracyjne w JetBrains Hub nie wymagały prawidłowego uwierzytelnienia przed ich wykonaniem. Atakujący zdalnie, bez podawania danych logowania, mógł wywołać krytyczne operacje zarezerwowane dla administratorów. Wektor ataku sieciowy (AV:N), brak wymagań co do złożoności (AC:L) oraz brak konieczności posiadania uprawnień (PR:N) i interakcji użytkownika (UI:N) czynią tę podatność szczególnie niebezpieczną.
Atakujący bez uwierzytelnienia może wykonywać uprzywilejowane działania administracyjne, co prowadzi do wysokiego ryzyka naruszenia poufności i integralności danych zarządzanych przez JetBrains Hub, w tym potencjalnego przejęcia kontroli nad zarządzaniem użytkownikami i uprawnieniami.
Należy niezwłocznie zaktualizować JetBrains Hub do wersji 2025.3.119807 lub nowszej. Szczegóły dostępne są na stronie producenta: https://www.jetbrains.com/privacy-security/issues-fixed/
JetBrains Hub we wszystkich wersjach przed 2025.3.119807
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NJetbrains Hub
APPJetbrains< 2025.3.119807
Powiązane podatności
In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.14842...
In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.14842...
In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.14842...
JetBrains Hub before 2021.1.14276 was vulnerable to blind Server-Side Request Forgery (SSRF).
In JetBrains Hub before 2022.1.14434, SAML request takeover was possible.