Компания JetBrains предупредила клиентов об исправлении критической уязвимости, которая затрагивает пользователей IDE IntelliJ и позволяет получить доступ к токенам GitHub.

Уязвимость отслеживается под идентификатором CVE-2024-37051 и затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, в которых включен, настроен или используется плагин JetBrains GitHub.

«29 мая 2024 года мы получили сообщение о возможной уязвимости, которая способна влиять на pull request'ы в IDE, — рассказал Илья Плескунин, руководитель группы поддержки безопасности в JetBrains. — Так, вредоносный контент, содержащейся в пулл реквесте для GitHub и обрабатываемый IDE на базе IntelliJ, может привести к передаче токенов доступа на сторонний хост».

JetBrains уже выпустила патчи, устраняющие критическую проблему в версии 2023.1 или более поздних. Также компания исправила уязвимый плагин JetBrains GitHub и удалила все ранее затронутые версии из своего официального маркетплейса плагинов.

Полный список исправленных версий включает:

  • Aqua: 2024.1.2
  • CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
  • DataGrip: 2024.1.4
  • DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
  • GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
  • PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
  • Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
  • RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
  • RustRover: 2024.1.1
  • WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

Администраторам настоятельно рекомендуется как можно скорее установить патчи и отозвать токены GitHub. Также компания настоятельно рекомендует клиентам, активно использующим функциональность пулл реквестов GitHub в IntelliJ IDE, отозвать все токены GitHub, используемые уязвимым плагином, поскольку они могут предоставить потенциальным злоумышленникам доступ к связанным аккаунтам на GitHub (даже если включена дополнительная защита в виде двухфакторной аутентификации).

Кроме того, если плагин использовался с интеграцией OAuth или Personal Access Token (PAT), следует отозвать доступ JetBrains IDE Integration и удалить токен плагина интеграции IntelliJ IDEA с GitHub. Подчеркивается, что после отзыва токена придется заново настроить плагин, так как все его функции (включая операции с Git) перестанут работать.

Помимо создания патча JetBrains связалась с разработчиками GitHub, чтобы помочь минимизировать последствия уязвимости. Поэтому, в связи с принятыми мерами, плагин JetBrains GitHub может работать некорректно в старых версиях IDE JetBrains.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии