Уязвимость в YouTrack (CVE-2026-33392): рекомендован апгрейд Server-инстансов до 2025.3.132953
Источник: https://blog.jetbrains.com/youtrack/2026/04/security-issue-in-youtrack-cve-2026-33392/
Краткое содержание
JetBrains опубликовали информационный пост об уязвимости CVE-2026-33392, обнаруженной в YouTrack исследователем из команды Hacktron AI в марте 2026 года в рамках политики coordinated disclosure. Уязвимость — обход sandbox с возможностью выполнения кода, эксплуатация требует прав администратора. YouTrack Cloud уже пропатчен в течение 48 часов после получения отчёта, свидетельств эксплуатации в продакшене не найдено. В YouTrack Cloud уязвимость позволяла пересекать границы изоляции между тенантами, делящими одно железо; в YouTrack Server, как однотенантном решении, cross-tenant-векторов нет, но остаётся возможность эскалации привилегий внутри административных ролей.
Затронутые версии и действия
Уязвимы все версии YouTrack до 2025.3.132953. Исправление включено в 2025.3.132953 и все последующие сборки. Администраторам YouTrack Server, работающих на более ранних версиях, рекомендуется как можно скорее обновиться до любой доступной под их лицензией версии, начиная с 2025.3.132953. Текущую версию можно проверить в Administration | Server Settings | Global Settings; доступные под лицензией сборки — в License Details или JetBrains Account; скачать последнюю сборку — с официальной страницы загрузок YouTrack, либо выбрать конкретный билд на странице предыдущих версий; инструкции — в документации по установке и обновлению.
Техническая суть и контекст
По описанию вендора, ядро проблемы — sandbox bypass, позволяющий выполнение кода. Требуется, чтобы у атакующего уже были административные полномочия; то есть это не удалённый pre-auth-RCE, а post-auth-privilege-escalation/sandbox-escape. Максимальный импакт пришёлся на Cloud, где разные клиенты (тенанты) могут разделять одну физическую инфраструктуру: обход песочницы там означал потенциальный выход за пределы своего тенанта. В Server-развертывании такой границы нет (один тенант = один владелец сервера), поэтому последствия ограничены escalation в пределах админских ролей того же инстанса. Пост подчёркивает: свидетельств фактической эксплуатации ни в одной среде не зафиксировано.
Значимость
Классический «тихий» advisory с уже выпущенным исправлением: для большинства администраторов это чисто информационный пост (Cloud пропатчен силами JetBrains, новые релизы Server уже содержат фикс). Практическая ценность — напоминание проверить версию собственного YouTrack Server, особенно там, где апгрейд отложен. Отдельно стоит отметить уважительный тон JetBrains к coordinated disclosure (благодарность Hacktron AI, подписка на security-бюллетень, ссылка на «Fixed Security Issues»), что остаётся примером good-practice для корпоративных security-коммуникаций. Для SRE и инфобеза важна деталь: даже admin-only уязвимость в многотенантном SaaS способна превратиться в cross-tenant breach — это аргумент в пользу более строгой изоляции инстансов в shared-infra.
🧾 Транскрипт (формат)
Security Issue in YouTrack (CVE-2026-33392): Upgrade Recommended for Server Versions Before 2025.3.132953 Source: https://blog.jetbrains.com/youtrack/2026/04/security-issue-in-youtrack-cve-2026-33392/
A security vulnerability in YouTrack came to light in March 2026, and we fixed it immediately. Most of you don’t need to do anything, but we want to keep you informed. For most YouTrack administrators, this is purely an informational post.
We have already upgraded YouTrack Cloud to a new version. YouTrack Server instances on version 2025.3.132953 or later are not affected. Action required from YouTrack Server administrators If you are running YouTrack Server on a version older than 2025.3.132953, we recommend upgrading to any version available to you, starting from 2025.3.132953, as soon as possible.
You can check your current version in Administration | Server Settings | Global Settings. To see which versions are available under your license, check the License Details section in the settings or visit your JetBrains Account. To upgrade, download the latest available version from the YouTrack download page, or pick a specific build from the previous versions page. For upgrade instructions, refer to the Installation and Upgrade documentation.
The vulnerability: summary In March 2026, a security researcher from the Hacktron AI team identified a vulnerability and reported it to us through our coordinated disclosure policy. The core issue was a sandbox bypass that could allow code execution and required administrator-level permissions to exploit.
The vulnerability has been assigned the identifier CVE-2026-33392. It affected all YouTrack versions before 2025.3.132953.
The impact was most significant in YouTrack Cloud, allowing bypassing the cross-tenant isolation boundaries for tenants sharing the same hardware.
YouTrack Server is a single-tenant solution, meaning that it’s not possible to access anything that does not already belong to the server owner. At the same time, the vulnerability requires administrative permissions to exploit.
Mitigation We implemented mitigation measures within 48 hours of receiving the report.
YouTrack Cloud servers were patched, and we have found no evidence that the vulnerability was ever exploited.
For YouTrack Server, the fix is included in version 2025.3.132953 and all later versions. There are no tenant boundaries in YouTrack Server, but the vulnerability may still allow permission escalation within administrative roles.
Security bulletin A complete list of recently fixed security issues is available on the Fixed Security Issues page on the JetBrains website. You can also subscribe to receive email notifications about security fixes across all JetBrains products.
Frequently asked questions Which versions are affected? All YouTrack versions before 2025.3.132953 were affected.
Is the YouTrack Server affected? Yes, but to a much lesser extent than YouTrack Cloud. YouTrack Server is a single-tenant solution, so there are no cross-tenant boundaries at risk. The vulnerability requires administrative permissions to exploit and may allow permission escalation within administrative roles. If you are already on version 2025.3.132953 or later, no action is needed.
Was my data compromised? We have found no evidence that the vulnerability was ever exploited in any environment.
Support If you have any questions regarding this issue, please get in touch with the YouTrack Support team.
Your YouTrack team