JetBrains
Ссылка скрыта от гостей
своих пользователей о выпуске обновления для устранения серьезной уязвимости, затрагивающей пользователей IntelliJ IDEA и открывающей доступ к GitHub токенам. Идентификатор данной уязвимости — CVE-2024-37051. Она присутствует во всех IDE на базе IntelliJ, начиная с версии 2023.1, где активирован, настроен или используется плагин JetBrains GitHub.JetBrains уже выпустила патчи, устраняющие эту критическую уязвимость, для версий 2023.1 и более поздних. Компания также обновила плагин JetBrains GitHub, удалив все уязвимые версии из своего официального маркетплейса плагинов.
Компания настоятельно рекомендует пользователям, активно пользующимся функционалом пулл реквестов GitHub в IntelliJ IDE, отозвать все токены GitHub, которые были использованы уязвимым плагином. Эти токены могут дать потенциальным злоумышленникам доступ к соответствующим аккаунтам на GitHub, даже при наличии двухфакторной аутентификации.
Если плагин был использован с интеграцией OAuth или Personal Access Token (PAT), также следует отозвать доступ JetBrains IDE Integration и удалить токен интеграции IntelliJ IDEA с GitHub. Важно отметить, что после этого необходимо заново настроить плагин, поскольку все его функции (включая операции c Git) перестанут работать.
Помимо выпуска патча, JetBrains связалась с разработчиками GitHub для минимизации последствий уязвимости. Вследствие предпринятых мер, плагин JetBrains GitHub может работать некорректно в более старых версиях IDE JetBrains.