YouTrack发布安全更新：修复CVE-2026-33392漏洞

2026 年 3 月，YouTrack 被发现存在一个安全漏洞，我们已立即进行了修复。绝大多数用户无需执行任何操作，但我们希望让您知晓相关情况。对于大多数 YouTrack 管理员而言，这是一篇仅供参考的公告。

• 我们已经将 YouTrack Cloud 升级到了新版本。
• 2025.3.132953 或更高版本的 YouTrack Server 实例不受此漏洞影响。

YouTrack Server 管理员需采取的操作

如果您运行的 YouTrack Server 版本早于 2025.3.132953，我们建议您尽快升级到 2025.3.132953 或更高版本（请升级至您许可范围内可用的任意版本）。

您可以在 Administration (管理) | Server Settings (服务器设置) | Global Settings (全局设置) 中查看当前版本。要查看您的许可范围内有哪些可用版本，请查看设置中的 License Details (许可详情) 部分，或访问您的 JetBrains 账户。如需升级，请从 YouTrack 下载页面下载最新可用版本，或从历史版本页面选择特定版本。有关升级说明，请参阅安装与升级文档。

漏洞概述

2026 年 3 月，Hacktron AI 团队的一名安全研究员发现了一个漏洞，并通过我们的协同披露政策向我们报告。该漏洞的核心问题是一个沙箱绕过（sandbox bypass），攻击者需要具备管理员权限才能利用该漏洞进行代码执行。

该漏洞已被分配编号 CVE-2026-33392，影响所有 2025.3.132953 之前的 YouTrack 版本。

该漏洞对 YouTrack Cloud 的影响最为严重，因为它可能绕过共享同一硬件的租户之间的隔离边界。

YouTrack Server 是一种单租户解决方案，这意味着无法访问不属于服务器所有者的任何数据。同时，该漏洞需要管理员权限才能被利用。

缓解措施

我们在收到报告后的 48 小时内实施了缓解措施。

YouTrack Cloud 服务器已完成修补，我们没有发现该漏洞被利用的任何证据。

对于 YouTrack Server，该修复程序已包含在 2025.3.132953 及所有后续版本中。YouTrack Server 不存在租户边界问题，但该漏洞仍可能导致管理角色内的权限提升。

安全公告

近期修复的安全问题完整列表可在 JetBrains 网站的 已修复的安全问题 页面上查看。您还可以订阅以接收有关所有 JetBrains 产品安全修复的电子邮件通知。

常见问题解答

哪些版本受到影响？

所有 2025.3.132953 之前的 YouTrack 版本均受影响。

YouTrack Server 是否受到影响？

是的，但影响程度远小于 YouTrack Cloud。YouTrack Server 是一种单租户解决方案，因此不存在跨租户边界的风险。该漏洞需要管理员权限才能被利用，且可能导致管理角色内的权限提升。如果您已经在使用 2025.3.132953 或更高版本，则无需执行任何操作。

我的数据是否泄露了？

我们没有发现该漏洞在任何环境中被利用的证据。

支持

如果您对此问题有任何疑问，请联系 YouTrack 支持团队。

您的 YouTrack 团队