Podatność w środowiskach JetBrains IDE umożliwia ujawnienie tokenu dostępu GitHub osobom trzecim za pośrednictwem zewnętrznych serwisów. Ze względu na szeroki zakres produktów i potencjalną kradzież poświadczeń dostępu do repozytoriów, zagrożenie jest oceniane jako krytyczne.
▸ Pokaż oryginał (EN)
GitHub access token could be exposed to third-party sites in JetBrains IDEs after version 2023.1 and less than: IntelliJ IDEA 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; Aqua 2024.1.2; CLion 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2; DataGrip 2023.1.3, 2023.2.4, 2023.3.5, 2024.1.4; DataSpell 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2, 2024.2 EAP1; GoLand 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; MPS 2023.2.1, 2023.3.1, 2024.1 EAP2; PhpStorm 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3; PyCharm 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2; Rider 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3; RubyMine 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4; RustRover 2024.1.1; WebStorm 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
W wersjach JetBrains IDE wydanych po 2023.1 token dostępu GitHub może zostać przekazany lub ujawniony stronom trzecim w sposób niezamierzony przez użytkownika (wymagana jest jednak interakcja użytkownika — UI:R). Podatność klasyfikowana jest jako CWE-522, czyli niewystarczająco chronione poświadczenia, co oznacza, że token nie jest odpowiednio zabezpieczony przed wyciekiem do niezaufanych podmiotów zewnętrznych. Zakres podatności przekracza kontekst zaatakowanej aplikacji (S:C — Changed Scope), co oznacza, że skutki mogą dotknąć zasoby zewnętrzne względem samego IDE.
Atakujący może uzyskać token dostępu GitHub ofiary, co potencjalnie umożliwia mu pełny dostęp do repozytoriów, kodu źródłowego oraz innych zasobów powiązanych z kontem GitHub użytkownika. Skutkuje to wysoką poufnością (C:H) oraz wysoką integralnością (I:H) zagrożonych danych.
Należy zaktualizować używane JetBrains IDE do wersji wskazanych powyżej jako poprawione (lub nowszych). Dodatkowo zaleca się unieważnienie i wygenerowanie nowych tokenów GitHub we wszystkich środowiskach, w których używano podatnych wersji IDE. Szczegółowe informacje dostępne są na stronie producenta: https://www.jetbrains.com/privacy-security/issues-fixed/
JetBrains IDE w wersjach po 2023.1 i przed następującymi poprawionymi wydaniami: IntelliJ IDEA 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; Aqua 2024.1.2; CLion 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2; DataGrip 2023.1.3, 2023.2.4, 2023.3.5, 2024.1.4; DataSpell 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2, 2024.2 EAP1; GoLand 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; MPS 2023.2.1, 2023.3.1, 2024.1 EAP2; PhpStorm 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3; PyCharm 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2; Rider 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3; RubyMine 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4; RustRover 2024.1.1; WebStorm 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4.
Podatność dotyczy bardzo szerokiej gamy produktów JetBrains (ponad 13 różnych IDE). Organizacje korzystające z integracji GitHub w środowiskach JetBrains powinny priorytetowo potraktować rotację tokenów dostępu GitHub niezależnie od statusu aktualizacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NJetbrains Aqua
APPJetbrains< 2024.1.2Jetbrains Clion
APPJetbrains< 2023.1.72023.2.0 – 2023.2.4 (bez)2023.3.0 – 2023.3.5 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Datagrip
APPJetbrains2023.1.0 – 2023.1.3 (bez)2023.2.0 – 2023.2.4 (bez)2023.3.0 – 2023.3.5 (bez)2024.1.0 – 2024.1.4 (bez)Jetbrains Dataspell
APPJetbrains< 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.6 (bez)2024.1.0 – 2024.1.2 (bez)Jetbrains Goland
APPJetbrains< 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Intellij Idea
APPJetbrains< 2023.1.72023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Mps
APPJetbrains2023.3.0< 2023.2.1Jetbrains Phpstorm
APPJetbrains< 2023.1.62023.2.0 – 2023.2.6 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Pycharm
APPJetbrains< 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.6 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Rider
APPJetbrains< 2023.1.72023.2.0 – 2023.2.5 (bez)2023.3.0 – 2023.3.6 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Rubymine
APPJetbrains< 2023.1.72023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)Jetbrains Rustrover
APPJetbrains< 2024.1.1Jetbrains Webstorm
APPJetbrains< 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.4 (bez)
Powiązane podatności
JetBrains IntelliJ IDEA 2021.3.1 Preview, IntelliJ IDEA 2021.3.1 RC, PyCharm Professional 2021.3.1 RC, GoLand ...
In JetBrains WebStorm before 2021.1, code execution without user confirmation was possible for untrusted proje...
In JetBrains IntelliJ IDEA before 2020.1, the license server could be resolved to an untrusted host in some ca...
In several JetBrains IntelliJ IDEA versions, a Spring Boot run configuration with the default setting allowed ...
In several JetBrains IntelliJ IDEA versions, creating remote run configurations of JavaEE application servers ...