详细内容或原文请订阅后点击阅览
CVE-2024-37051:与 GitHub 相关的 IntelliJ IDEA 漏洞
流行的开发环境如何成为进一步妥协的切入点?
来源:安全实验室新闻频道JetBrains 鼓励用户更新其 IntelliJ IDEA IDE,以解决关键的 GitHub 令牌访问漏洞。
JetBrains 呼叫用户 IntelliJ IDEA GitHub当启用并使用 JetBrains GitHub 插件时,CVE-2024-37051 会影响从版本 2023.1 开始的所有基于 IntelliJ 的 IDE。 2024 年 5 月 29 日,收到有关影响 IDE 中拉取请求的潜在威胁的外部信息。
CVE-2024-37051 拉取请求JetBrains 安全支持团队负责人 Ilya Pleskunin 表示:“GitHub 项目的 Pull 请求中的恶意内容由基于 IntelliJ 的 IDE 处理,可能会导致访问令牌泄露给第三方主机”。
JetBrains 已发布所有受影响的 IDE 版本(2023.1 及更高版本)的安全更新。易受攻击的 JetBrains GitHub 插件也已更新并从官方商店中删除。
基于 IntelliJ 的 IDE 的修补版本的完整列表包括:
- 水色:2024.1.2; CLion:2023.1.7、2023.2.4、2023.3.5、2024.1.3、2024.2 EAP2; DataGrip:2024.1.4; 数据拼写:2023.1.6、2023.2.7、2023.3.6、2024.1.2; GoLand:2023.1.6、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3; IntelliJ IDEA:2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3; MPS:2023.2.1、2023.3.1、2024.1 EAP2; PhpStorm:2023.1.6、2023.2.6、2023.3.7、2024.1.3、2024.2 EAP3; PyCharm:2023.1.6、2023.2.7、2023.3.6、2024.1.3、2024.2 EAP2; 骑手:2023.1.7、2023.2.5、2023.3.6、2024.1.3; RubyMine:2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP4; RustRover:2024.1.1; 网络风暴:2023.1.6、2023.2.7、2023.3.7、2024.1.4;