JetBrains は 2026 年 7 月 10 日、統合開発環境 IntelliJ IDEA でプロジェクト workspace ID のハンドリングにおけるパストラバーサルを介したリモートコード実行が可能な脆弱性 CVE-2026-59792 を公開しました。CVSS v3.1 スコアは 9.6 (Critical) と評価されており、開発者ワークステーションを介した侵害経路として深刻度が高い脆弱性です。

主なポイント

  • 影響を受けるのは IntelliJ IDEA の 2026.1.4 未満および 2026.2 未満、修正済みバージョンは 2026.1.4 / 2026.2
  • CVSS ベクトルは AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L。攻撃には利用者のインタラクションが必要だがネットワーク越しの悪用が可能
  • CVE は 2026 年 7 月 7 日に予約、7 月 10 日に公表 (アサイナは JetBrains 自身)
  • 同社は同日、TeamCity についても Perforce VCS 統合経由の任意ファイルアクセス CVE-2026-59793 (CVSS 8.8) や、格納型 XSS の CVE-2026-59794 などを公表
  • 対策は最新版へのアップグレードのみで、緩和策となる回避方法は公表されていない

出典: JetBrains — Fixed security issues