A JetBrains alertou seus clientes para atualizar uma vulnerabilidade crítica que afeta os usuários de seus aplicativos do ambiente integrado de desenvolvimento (IDE) IntelliJ e expõe tokens de acesso do GitHub.
Rastreada como
CVE-2024-37051
, essa falha de segurança afeta todas as IDEs baseadas em IntelliJ a partir da versão 2023.1, onde o plugin do GitHub da JetBrains está habilitado e configurado/usado.
"No dia 29 de maio de 2024, recebemos um relatório de segurança externo com detalhes de uma possível vulnerabilidade que afetaria os pull requests dentro da IDE", disse Ilya Pleskunin, líder da equipe de suporte de segurança na JetBrains.
"Em particular, conteúdo malicioso como parte de um pull request para um projeto do GitHub, que seria manipulado pelas IDEs baseadas no IntelliJ, exporia tokens de acesso a um host de terceiros."
A JetBrains lançou atualizações de segurança que abordam essa vulnerabilidade crítica nas versões afetadas da IDE a partir da versão 2023.1.
A empresa também corrigiu o plugin vulnerável do GitHub da JetBrains e, desde então, removeu todas as versões anteriormente impactadas de seu mercado oficial de plugins.
A lista completa de versões corrigidas para as IDEs IntelliJ inclui:
- Aqua: 2024.1.2
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
- DataGrip: 2024.1.4
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
- RustRover: 2024.1.1
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
"Se você ainda não atualizou para a versão mais recente, recomendamos fortemente que o faça", alertou Pleskunin.
Além de trabalhar em uma correção de segurança, a JetBrains entrou em contato com o GitHub para ajudar a minimizar o impacto.
Devido às medidas implementadas durante o processo de mitigação, o plugin do GitHub da JetBrains pode não funcionar como esperado nas versões mais antigas das IDEs da JetBrains.
A JetBrains também aconselhou "fortemente" os clientes que usaram ativamente a funcionalidade de pull request do GitHub nas IDEs IntelliJ a revogar quaisquer tokens do GitHub usados pelo plugin vulnerável, pois eles poderiam fornecer a possíveis atacantes o acesso às contas do GitHub vinculadas, mesmo com a proteção adicional da autenticação de dois fatores.
Além disso, caso o plugin tenha sido usado com integração OAuth ou Token de Acesso Pessoal (PAT), eles também devem revogar o acesso para o aplicativo de integração da IDE da JetBrains e excluir o token do plugin de integração do GitHub do IntelliJ IDEA.
"Observe que, após a revogação do token, você precisará configurar o plugin novamente, pois todos os recursos do plugin (incluindo operações Git) deixarão de funcionar", disse Pleskunin.
Em fevereiro, a JetBrains também alertou sobre uma vulnerabilidade crítica de bypass de autenticação - com código de exploração público disponível desde março - que poderia permitir que atacantes obtivessem privilégios de admin e assumissem o controle de servidores TeamCity On-Premises vulneráveis.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...