YouTrack安全更新：Server版用户需立即升级修复漏洞

我们在此向 YouTrack 管理员通报近期发现并修复的多项安全漏洞。

对于 YouTrack Cloud 用户，此公告仅供参考——YouTrack Cloud 已应用补丁，无需执行任何操作。

对于 YouTrack Server 管理员，我们建议升级至下方列出的修复版本之一。自 2024.2 起，支持的 YouTrack Server 版本均有相应修复版本。若您的安装版本更早，建议升级至 YouTrack Server 2024.2 或更高版本。

我们未发现任何证据表明这些漏洞在测试环境之外被利用。

请继续阅读以获取建议操作。

YouTrack Server 管理员建议操作

如果您正在运行 YouTrack Server，我们强烈建议升级到以下任一版本或更新版本：

• 2026.1.13757（适用于 2026.1 安装）
• 2025.3.148033（适用于 2025.3 安装）
• 2025.2.148048（适用于 2025.2 安装）
• 2025.1.148120（适用于 2025.1 安装）
• 2024.3.148430（适用于 2024.3 安装）
• 2024.2.148429（适用于 2024.2 安装）

若您的安装版本早于 2024.2，建议升级至 YouTrack Server 2024.2 或更高版本。

您可以在 管理 → 服务器设置 → 全局设置 下查看当前版本。要了解您的升级和支持订阅包含哪些版本，请访问您的 JetBrains 账户。

要升级您的 YouTrack 2026.1 版本，请从 YouTrack 下载页面 下载最新的可用版本，或在 历史版本页面 选择特定版本。升级说明请参阅安装与升级文档。

漏洞详情

2026 年 5 月，独立研究人员与 JetBrains 团队通过协调披露政策和内部安全研究活动共同发现了多项严重漏洞。

随着自动化及 AI 辅助技术的进步，安全研究方法也在不断演进。JetBrains 持续投入漏洞发现、协调披露计划以及与安全社区的合作，以帮助识别和应对新兴风险。

基于内部调查，报告似乎源于使用了 AI 辅助测试技术的高级安全研究。大量的准备工作、系统分析以及 AI 辅助工作流，可能使研究人员能够发现代码库中旧有区域此前未被安全评估识别的漏洞。

这些漏洞影响上述修复版本发布前的 YouTrack 版本。

其中两个问题与 YouTrack Cloud 相关：

• 通过身份验证令牌伪造可实现管理员账户接管（CVE-2026-56141）。
• 可完全绕过电子邮件验证流程（CVE-2026-56142）。

YouTrack Server 受上述两个问题影响。此外，通过直接数据库访问可实现管理员账户接管（CVE-2026-50242）。

缓解措施

收到报告后，我们已为 YouTrack Cloud 应用补丁，并为自 2024.2 起支持的 YouTrack Server 版本准备了修复版本。

我们未发现任何证据表明这些漏洞在测试环境之外被利用。

安全公告

近期修复的安全问题完整列表可在 JetBrains 网站的已修复安全问题页面查看。您还可以订阅接收关于所有 JetBrains 产品修复的邮件通知。

常见问题

哪些版本受影响？

这些漏洞影响本文中所列修复版本发布前的 YouTrack 版本。自 2024.2 起，支持的版本均提供修复后的 Server 版本。

如果我的 YouTrack Server 版本早于 2024.2，该怎么办？

我们建议升级至 YouTrack Server 2024.2 或更高版本。

YouTrack Cloud 是否受影响？

YouTrack Cloud 曾受影响，但所有云端实例已应用补丁。我们未发现任何证据表明这些漏洞在测试环境之外被利用。Cloud 用户无需执行任何操作。

YouTrack Server 是否受影响？

是的。YouTrack Server 受本文所述全部三个漏洞影响。尽管未发现任何漏洞在测试环境之外被利用的证据，我们仍强烈建议升级至修复版本。

我的数据是否遭到泄露？

我们未发现任何证据表明这些漏洞在测试环境之外被利用。

支持

如果您对此问题有任何疑问，请联系 YouTrack 支持团队。

您的 YouTrack 团队