JetBrains 警告 GitHub 插件可能暴露访问令牌最近针对Github的攻击有点多

基于 IntelliJ 的 IDE（2023.1 及更高版本）的 JetBrains GitHub 插件中存在一个严重漏洞 (CVE-2024-37051)，该漏洞会将访问令牌暴露给 GitHub 拉取请求中的恶意内容，即使启用了双因素身份验证，攻击者也可以窃取令牌并可能危及关联帐户。 

JetBrains 已发布补丁解决了该问题，并与 GitHub 合作采取缓解措施。

建议用户更新他们的 IDE 并考虑撤销插件使用的任何 GitHub 令牌。 

截至今天，他们已经为 JetBrains IDE 提供了可用的修复版本，而 Aqua 目前只有一个可用的修复版本 2024.1.2。

CLion 提供多个修复版本，从 2023.1.7 一直到最新的抢先体验计划 (EAP) 版本 2024.2 EAP2。DataGrip 和 DataSpell 各自都有一个当前年份的修复版本（分别为 2024.1.4 和 2024.1.2）。 

GoLand 和 IntelliJ IDEA 用户可受益于更广泛的修复版本，包括 2023 年的版本和 2024.2 的当前 EAP 版本。

最后，MPS 从 2023 年中期开始提供修复版本（2023.2.1），最新版本是当年的 EAP 版本（2024.1 EAP2）。  

JetBrains GitHub 插件中可能暴露访问令牌的安全漏洞已被修补，这会影响从 2023.1 版本开始的所有基于 IntelliJ 的 IDE（包括 PhpStorm、PyCharm、Rider、RubyMine、WebStorm 和 RustRover）。 

JetBrains GitHub 插件已更新修复该问题，不安全的版本已从 JetBrains Marketplace 中删除。

强烈建议用户立即将插件更新到最新版本。 

2024 年 5 月 29 日提交的一份外部安全报告发现基于 IntelliJ 的 IDE（版本 2023.1 及更高版本）的 JetBrains GitHub 插件中存在漏洞 (CVE-2024-37051)。 

如果 IDE 处理包含恶意内容的拉取请求，则该漏洞可能会将用户的 GitHub 访问令牌暴露给恶意第三方，强烈建议更新到最新的 IDE 版本以缓解此漏洞。 

JetBrains在其基于 IntelliJ 的 IDE（版本 2023.1 及更高版本）的 GitHub 插件中发现了一个安全漏洞，该漏洞可能会暴露访问令牌，为了缓解这个问题，他们联系了 GitHub 并实施了可能导致插件在旧版本 IDE 中出现故障的措施。 

在进行永久修复的同时，将插件和 IDE 更新到最新版本对于确保安全性和完整功能至关重要。 

为了确保使用 JetBrains IDE GitHub 集成插件时的兼容性和安全性，请更新到最新的 IDE 版本，如果您使用了插件的拉取请求功能，请撤销任何关联的 GitHub 令牌。 

该插件可能使用 OAuth 或个人访问令牌 (PAT)。通过 GitHub 的应用程序设置或令牌管理页面撤销它们。

请注意，撤销令牌将禁用所有插件功能，包括 Git 操作，需要重新配置。

原文始发于微信公众号（独眼情报）：JetBrains 警告 GitHub 插件可能暴露访问令牌--最近针对Github的攻击有点多