事件经过
CVE-2026-57922 (CVSS 3.1 低危) 发布于 2026-06-26。在 JetBrains YouTrack 2026.2.16593 之前,项目设置可通过 MCP 服务器泄露。已在 2026.2.16593 中修复。
影响分析
当 YouTrack 等问题跟踪系统添加 MCP 接口以使 AI 代理能够查询和更新工单时,MCP 端点成为新的数据泄露面。即使来自 MCP 端点的低严重性信息泄露也可能为对 AI 集成开发工作流的进一步攻击提供情报收集支持。
攻击途径
YouTrack MCP 服务器通过 MCP 端点暴露项目设置信息,而没有充分的访问控制。拥有 MCP 端点访问权限的攻击者可以读取应该受限的项目配置数据。
受影响系统
JetBrains YouTrack < 2026.2.16593
缓解措施
升级至 YouTrack ≥ 2026.2.16593。公告:https://www.jetbrains.com/privacy-security/issues-fixed/