JetBrains YouTrack MCP — MCP 엔드포인트를 통한 프로젝트 설정 공개 (CVSS 3.1)

CVE-2026-57922 (CVSS 3.1 낮음)는 2026-06-26에 발표되었습니다. JetBrains YouTrack 2026.2.16593 이전에서는 MCP 서버를 통해 프로젝트 설정이 공개될 수 있었습니다. 2026.2.16593에서 수정되었습니다.

YouTrack과 같은 이슈 추적기가 AI 에이전트가 티켓을 쿼리하고 업데이트할 수 있도록 MCP 인터페이스를 추가함에 따라 MCP 엔드포인트는 새로운 데이터 공개 표면이 됩니다. MCP 엔드포인트의 낮은 심각도 정보 공개도 AI 통합 개발 워크플로우에 대한 추가 공격을 위한 정찰을 지원할 수 있습니다.

YouTrack MCP 서버는 적절한 액세스 제어 없이 MCP 엔드포인트를 통해 프로젝트 설정 정보를 노출합니다. MCP 엔드포인트에 대한 액세스 권한이 있는 공격자는 제한되어야 하는 프로젝트 구성 데이터를 읽을 수 있습니다.

JetBrains YouTrack < 2026.2.16593

YouTrack ≥ 2026.2.16593로 업그레이드하십시오. 권고: https://www.jetbrains.com/privacy-security/issues-fixed/