CRITICAL✓ PATCH🇬🇧 English

CVE-2024-37051

Wyciek tokenu GitHub do stron trzecich w JetBrains IDE

CVSS 9.3v3.1pub. 2024-06-10upd. 2024-11-21

Podatność w środowiskach JetBrains IDE umożliwia ujawnienie tokenu dostępu GitHub osobom trzecim za pośrednictwem zewnętrznych serwisów. Ze względu na szeroki zakres produktów i potencjalną kradzież poświadczeń dostępu do repozytoriów, zagrożenie jest oceniane jako krytyczne.

Pokaż oryginał (EN)

GitHub access token could be exposed to third-party sites in JetBrains IDEs after version 2023.1 and less than: IntelliJ IDEA 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; Aqua 2024.1.2; CLion 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2; DataGrip 2023.1.3, 2023.2.4, 2023.3.5, 2024.1.4; DataSpell 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2, 2024.2 EAP1; GoLand 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; MPS 2023.2.1, 2023.3.1, 2024.1 EAP2; PhpStorm 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3; PyCharm 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2; Rider 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3; RubyMine 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4; RustRover 2024.1.1; WebStorm 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

🤖 Analiza AI
Jak działa

W wersjach JetBrains IDE wydanych po 2023.1 token dostępu GitHub może zostać przekazany lub ujawniony stronom trzecim w sposób niezamierzony przez użytkownika (wymagana jest jednak interakcja użytkownika — UI:R). Podatność klasyfikowana jest jako CWE-522, czyli niewystarczająco chronione poświadczenia, co oznacza, że token nie jest odpowiednio zabezpieczony przed wyciekiem do niezaufanych podmiotów zewnętrznych. Zakres podatności przekracza kontekst zaatakowanej aplikacji (S:C — Changed Scope), co oznacza, że skutki mogą dotknąć zasoby zewnętrzne względem samego IDE.

Skutki

Atakujący może uzyskać token dostępu GitHub ofiary, co potencjalnie umożliwia mu pełny dostęp do repozytoriów, kodu źródłowego oraz innych zasobów powiązanych z kontem GitHub użytkownika. Skutkuje to wysoką poufnością (C:H) oraz wysoką integralnością (I:H) zagrożonych danych.

Mitygacja

Należy zaktualizować używane JetBrains IDE do wersji wskazanych powyżej jako poprawione (lub nowszych). Dodatkowo zaleca się unieważnienie i wygenerowanie nowych tokenów GitHub we wszystkich środowiskach, w których używano podatnych wersji IDE. Szczegółowe informacje dostępne są na stronie producenta: https://www.jetbrains.com/privacy-security/issues-fixed/

Kogo dotyczy

JetBrains IDE w wersjach po 2023.1 i przed następującymi poprawionymi wydaniami: IntelliJ IDEA 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; Aqua 2024.1.2; CLion 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2; DataGrip 2023.1.3, 2023.2.4, 2023.3.5, 2024.1.4; DataSpell 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2, 2024.2 EAP1; GoLand 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3; MPS 2023.2.1, 2023.3.1, 2024.1 EAP2; PhpStorm 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3; PyCharm 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2; Rider 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3; RubyMine 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4; RustRover 2024.1.1; WebStorm 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4.

Uwagi

Podatność dotyczy bardzo szerokiej gamy produktów JetBrains (ponad 13 różnych IDE). Organizacje korzystające z integracji GitHub w środowiskach JetBrains powinny priorytetowo potraktować rotację tokenów dostępu GitHub niezależnie od statusu aktualizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Jetbrains Aqua

    APP
    Jetbrains
    < 2024.1.2
  • Jetbrains Clion

    APP
    Jetbrains
    < 2023.1.72023.2.0 – 2023.2.4 (bez)2023.3.0 – 2023.3.5 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Datagrip

    APP
    Jetbrains
    2023.1.0 – 2023.1.3 (bez)2023.2.0 – 2023.2.4 (bez)2023.3.0 – 2023.3.5 (bez)2024.1.0 – 2024.1.4 (bez)
  • Jetbrains Dataspell

    APP
    Jetbrains
    < 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.6 (bez)2024.1.0 – 2024.1.2 (bez)
  • Jetbrains Goland

    APP
    Jetbrains
    < 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Intellij Idea

    APP
    Jetbrains
    < 2023.1.72023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Mps

    APP
    Jetbrains
    2023.3.0< 2023.2.1
  • Jetbrains Phpstorm

    APP
    Jetbrains
    < 2023.1.62023.2.0 – 2023.2.6 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Pycharm

    APP
    Jetbrains
    < 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.6 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Rider

    APP
    Jetbrains
    < 2023.1.72023.2.0 – 2023.2.5 (bez)2023.3.0 – 2023.3.6 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Rubymine

    APP
    Jetbrains
    < 2023.1.72023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.3 (bez)
  • Jetbrains Rustrover

    APP
    Jetbrains
    < 2024.1.1
  • Jetbrains Webstorm

    APP
    Jetbrains
    < 2023.1.62023.2.0 – 2023.2.7 (bez)2023.3.0 – 2023.3.7 (bez)2024.1.0 – 2024.1.4 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-45977CRITICAL9.8ten sam produkt

JetBrains IntelliJ IDEA 2021.3.1 Preview, IntelliJ IDEA 2021.3.1 RC, PyCharm Professional 2021.3.1 RC, GoLand ...

CVE-2021-31897CRITICAL9.8ten sam produkt

In JetBrains WebStorm before 2021.1, code execution without user confirmation was possible for untrusted proje...

CVE-2020-11690CRITICAL9.8ten sam produkt

In JetBrains IntelliJ IDEA before 2020.1, the license server could be resolved to an untrusted host in some ca...

CVE-2019-9186CRITICAL9.8ten sam produkt

In several JetBrains IntelliJ IDEA versions, a Spring Boot run configuration with the default setting allowed ...

CVE-2019-9823CRITICAL9.8ten sam produkt

In several JetBrains IntelliJ IDEA versions, creating remote run configurations of JavaEE application servers ...