Уязвимость получила идентификационный номер CVE-2024-37051, а под угрозой оказались все пользователи IntelliJ IDE версий 2023.1 и выше. Важно, что ошибка касалась только тех, кто установил и настроил плагин JetBrains GitHub. Среды разработки обрабатывали вредоносный код в пулл реквестах и передавали токен на сторонний хост.
Компания закрыла уязвимость как в самих IDE, так и в плагине. Кроме того, из магазина расширений удалили все версии с ошибкой, оставив только актуальную. Список версий с исправлениями выглядит так:
Aqua: 2024.1.2
CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
DataGrip: 2024.1.4
DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
RustRover: 2024.1.1
WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
Кроме того, компания рекомендует пользователям и администраторам сменить токены, которые использовались для работы с GitHub. Это надо сделать даже если используется двухфакторная аутентификация. Иначе злоумышленники могут получить доступ к профилям. Дополнительно инженеры JetBrains связались с разработчиками GitHub, чтобы сгладить последствия уязвимости.
Обсудить