JetBrains修复了IntelliJ IDE中暴露GitHub访问令牌的缺陷

JetBrains警告客户解决一个关键漏洞，该漏洞被追踪为CVE-2024-37051，影响其IntelliJ集成开发环境（IDE）应用的用户，并暴露GitHub访问令牌。该缺陷影响了2023.1及更高版本的基于IntelliJ的IDE，在启用并配置/使用JetBrains GitHub插件时存在风险。“发现了一个新的安全问题，影响IntelliJ平台上的JetBrains GitHub插件，可能导致访问令牌泄露到第三方网站。该问题影响所有启用了JetBrains GitHub插件并配置/使用的2023.1及以后的基于IntelliJ的IDE。”公司发布的公告中写道。

2024年5月29日，公司收到了一份关于潜在影响其IDE产品的漏洞的外部安全报告。该报告表明，当IntelliJ基于的IDE处理GitHub项目的拉取请求中的特制内容时，会将访问令牌暴露给第三方主机。JetBrains通过发布2023.1及以后的IDE版本解决了这个缺陷。强烈建议用户更新到最新版本。

那些在IDE中使用过GitHub拉取请求功能的客户被强烈建议撤销插件使用的任何GitHub令牌。对于OAuth集成，通过“Applications → Authorized OAuth Apps”撤销JetBrains IDE Integration应用的访问权限。对于个人访问令牌（PAT），删除插件在Tokens页面上签发的令牌，通常名为“IntelliJ IDEA GitHub integration plugin”，但也可能使用自定义名称。

以下是IntelliJ IDEs修复版本的列表：

• Aqua: 2024.1.2
  

• CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2

• DataGrip: 2024.1.4

• DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2

• GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

• IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

• MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2

• PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3

• PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2

• Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3

• RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4

• RustRover: 2024.1.1

• WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

公告总结道:“如果您尚未更新到最新版本，我们强烈建议您尽快更新。”

原文始发于微信公众号（黑猫安全）：JetBrains修复了IntelliJ IDE中暴露GitHub访问令牌的缺陷