В плагине для IDE от JetBrains нашли дыру, которая приводила к утечке учетных данных

Недавно в плагине GitHub для продуктов IntelliJ обнаружили серьезную уязвимость, которая могла привести к утечке токенов доступа на сторонние ресурсы.

Эта проблема затронула все IDE, работающие на платформе IntelliJ с версией 2023.1 и выше, где активирован и настроен плагин GitHub от JetBrains.

История проблемы

29 мая 2024 года была получена информация о потенциальной уязвимости, касающейся обработки pull request в средах разработки JetBrains.

Оказалось, что вредоносный контент в pull request мог привести к утечке токенов через IDE, обрабатывающие эти запросы. Уязвимость получила идентификатор CVE-2024-37051.

Реакция и исправление

JetBrains оперативно отреагировала на проблему и выпустила апдейт для всех затронутых продуктов. Были выпущены следующие версии, содержащие исправление:

• IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
• PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
  
• WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
  
• И прочие версии для соответствующих IDE
  

JetBrains также удалила ранее уязвимые версии плагина GitHub из своего маркетплейса и выпустила обновленный вариант с исправлениями.

Пользователям настоятельно рекомендуется как можно скорее обновить свои IDE до последних версий.

Рекомендации для пользователей

Для защиты своих данных, пользователи также должны отозвать все токены доступа, которые использовались плагином. Речь идет как об OAuth-токенах, так и персональных токенах доступа (PAT). Вот что нужно сделать:

• В настройках OAuth отозвать доступ для JetBrains IDE Integration.
• В настройках персональных токенов доступа удалить токены, выданные для плагина.
  

После отзыва токенов потребуется заново настроить плагин, так как его функции (включая операции с Git) перестанут работать.