Un error de configuración en YouTrack (antes de la versión 2025.3.104432) puede exponer un “token global” de Junie, el nuevo agente de IA de JetBrains. Con ese token, un atacante autenticado con bajos privilegios podría leer datos sensibles y realizar cambios en nombre de la integración, sin interacción del usuario.
¿Qué es el CVE‑2025‑64689?
Es una vulnerabilidad de exposición de credenciales (CWE‑522: Insufficiently Protected Credentials) originada por una mala configuración relacionada con Junie, el agente de IA de JetBrains. Si la instancia de YouTrack está configurada de forma insegura, podría hacerse visible el token global de Junie, permitiendo su uso indebido.
Contexto de Junie: Junie es el agente de codificación con IA de JetBrains; su CLI y las integraciones usan un token de autenticación. Si ese token se expone, un tercero podría reutilizarlo.
Impacto en negocio y seguridad
El CVE‑2025‑64689 está valorado como vulnerabilidad crítica (9.6 CVSS v3.1) y su vector describe un escenario especialmente preocupante para cualquier organización: el ataque puede ser remoto y sin demasiada complejidad, sin interacción del usuario. Aunque requiere privilegios bajos, una vez explotada la vulnerabilidad y con el token filtrado, el atacante puede operar más allá de sus permisos originales, heredando las capacidades de la integración y alcanzando datos y funciones que normalmente no tendría. El resultado es un impacto alto en confidencialidad y en integridad. En términos sencillos: es fácil de intentar, no necesita que nadie haga clic en nada y permite actuar como si se fuese la propia integración del sistema.
Trasladado al negocio, esto se traduce en varios riesgos concretos: exfiltración de información sensible (p. ej., incidencias, comentarios o adjuntos que contengan PII o secretos), manipulación de registros (creación/edición de issues “en nombre” de la integración, con impacto en cumplimiento y auditoría) y fraude de trazabilidad al camuflar acciones como legítimas. Aunque el servicio puede seguir “en pie”, el daño reputacional, las notificaciones regulatorias y el coste de remediación pueden ser elevados si el token se usa para alterar flujos críticos o para moverse lateralmente hacia otros sistemas integrados. La mitigación prioritaria pasa por tratar ese token como una credencial de alto impacto y cerrar cualquier configuración que pueda exponerlo.
¿Cómo se podría explotar?
A alto nivel, la explotación pasa por aprovechar una mala configuración en YouTrack que haga visible el token global de Junie. Un actor con cuenta de bajo privilegio o con acceso indebido a rutas de administración, logs o copias de seguridad podría encontrarse ese secreto expuesto. Una vez en posesión del token, el atacante lo reutiliza para autenticarse frente a la integración y ejecutar operaciones dentro del alcance de la propia integración, sin requerir interacción del usuario. Este flujo encaja con la descripción oficial del CVE (exposición de credenciales por configuración insegura) y explica por qué el impacto recae en confidencialidad e integridad.
Respecto a pruebas de concepto (PoC) públicas: a fecha de salida del CVE no hay PoC conocidas ni explotación confirmada públicamente. El registro de OpenCVE incorpora la valoración de CISA SSVC: “Exploitation: none” y “Automatable: no”, y el propio listado no figura en KEV (conocidas explotadas), señales de que no hay actividad pública de explotación ni PoC difundidas en fuentes habituales, aunque este estado puede cambiar si alguien publica un método de abuso del token expuesto.
Mitigación y corrección
La medida prioritaria es actualizar YouTrack a la versión 2025.3.104432 o posterior en todas las instancias afectadas. Esta es la línea oficial indicada en los registros públicos del CVE y en fuentes oficiales: la vulnerabilidad se corrige en esa versión, por lo que mantener versiones previas prolonga el riesgo de exposición del token global de Junie. Verifica la versión efectiva de tus contenedores/paquetes y planifica la actualización en todos los entornos (producción y no producción) antes de retomar operaciones normales.
Tras actualizar, rota e invalida cualquier token de Junie que pueda haberse visto expuesto (incluidos los que residan en pipelines de CI/CD o variables de entorno). Junie se autentica mediante token (por ejemplo, con la opción –auth de su CLI), por lo que la rotación es imprescindible para cortar cualquier reutilización fraudulenta. Si tu instancia utiliza JetBrains Hub para identidad (lo habitual en YouTrack), gestiona desde ahí la revocación/creación de nuevos tokens y aplica MFA donde proceda.
A continuación, endurece la configuración para reducir la superficie de exposición. Limita estrictamente quién puede ver o editar los ajustes de integraciones (principio de mínimo privilegio), y revisa que logs, backups y artefactos de despliegue no almacenen secretos en texto plano. Revisa también automatizaciones y cuentas técnicas: añade alertas por uso inusual (creaciones/ediciones de issues fuera de patrón, accesos desde ubicaciones atípicas) y audita cambios atribuidos a la integración. En entornos con Junie ejecutado por runners o CI/CD, inspecciona las variables de entorno y rótalas si contienen credenciales heredadas.
Por último, si sospechas que el token pudo estar expuesto antes del parche, aplica un proceso de respuesta a incidentes: invalídalo, acota la ventana temporal potencialmente afectada, revisa accesos/operaciones realizados con la identidad de la integración y, si corresponde, prepara notificaciones regulares. Finalmente, documenta los márgenes de control que permitieron la exposición y añade revisiones recurrentes para prevenir regresiones. La referencia del CVE deja claro que el problema nace de configuración insegura, así que conviene incorporar estas verificaciones a tus playbooks de mantenimiento.
Más información:
- CVE-2025-64689 Detail https://nvd.nist.gov/vuln/detail/CVE-2025-64689
- Fixed security issues https://www.jetbrains.com/privacy-security/issues-fixed/
- CVE-2025-64689 https://secalerts.co/vulnerability/CVE-2025-64689
- Junie CLI https://www.jetbrains.com/help/junie/junie-cli.html
- Manage Authentication Tokens https://www.jetbrains.com/help/hub/manage-authentication-tokens.html
- jetbrains-junie/junie https://github.com/jetbrains-junie/junie
Deja una respuesta