一、基本情况
JetBrains IntelliJ是一个集成开发环境(IDE)平台,由 JetBrains 公司开发并维护,支持Java、Kotlin、Scala、Groovy、Python、JavaScript、TypeScript、Go、Rust 等多种编程语言。
二、漏洞描述
JetBrains IntelliJ IDE信息泄露漏洞(CVE-2024-37051)的漏洞细节及PoC/EXP在互联网上公开,该漏洞的CVSS评分为9.3。
JetBrains IntelliJ平台上的 JetBrains GitHub 插件中存在漏洞,当在 IDE中使用 GitHub 拉取请求功能时可能导致将访问令牌暴露给第三方主机,导致敏感信息泄露。该漏洞影响从2023.1 起启用并配置/使用 JetBrains GitHub 插件的所有基于IntelliJ 的集成开发环境。
三、影响范围
IntelliJ IDE 2023.1及更高版本,其中启用并配置了JetBrains GitHub 插件
四、修复建议
目前JetBrains已修复该漏洞,并修补了易受攻击的 JetBrains GitHub 插件,并从其官方插件市场中删除了所有以前受影响的版本,IntelliJ IDE的完整修复版本列表包括:
Aqua:2024.1.2
CLion:2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
DataGrip:2024.1.4
DataSpell:2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
GoLand:2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
IntelliJ IDEA:2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
MPS:2023.2.1, 2023.3.1, 2024.1 EAP2
PhpStorm:2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
PyCharm:2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
Rider:2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
RubyMine:2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
RustRover:2024.1.1
WebStorm:2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
