何が起きたか
CVE-2026-57922(CVSS 3.1 Low)は2026-06-26に公開されました。JetBrains YouTrack 2026.2.16593より前では、MCPサーバー経由でプロジェクト設定が開示される可能性がありました。2026.2.16593で修正されました。
なぜ重要か
YouTrackなどのイシュートラッカーがAIエージェントにチケットのクエリと更新を可能にするMCPインターフェースを追加するにつれて、MCPエンドポイントは新しいデータ開示表面になります。MCPエンドポイントからのたとえ低重度度の情報開示でも、AI統合開発ワークフローに対する他の攻撃の偵察を補給できます。
攻撃経路
YouTrack MCPサーバーは適切なアクセス制御なしにMCPエンドポイント経由でプロジェクト設定情報を公開しています。MCPエンドポイントにアクセスできる攻撃者は、制限されるべきプロジェクト設定データを読み取ることができます。
影響を受けるシステム
JetBrains YouTrack < 2026.2.16593
緩和策
YouTrack ≥ 2026.2.16593にアップグレードしてください。アドバイザリ: https://www.jetbrains.com/privacy-security/issues-fixed/