JetBrains GitHub token 泄露风险(CVE-2024-37051)

CVE编号

CVE-2024-37051

利用情况

暂无

补丁情况

N/A

披露时间

2024-06-11
漏洞描述
JetBrains 是专注于创建集成开发环境(IDE)的软件公司。
受影响的多个 JetBrains IDE 中,当启用并配置 GitHub 插件时,拉取包含恶意内容的 GitHub 项目会将 GitHub token 泄露到第三方网站 ,攻击者可窃取用户 token 未授权访问私有代码仓库,窃取 Github 仓库信息或嵌入恶意代码。
解决建议
"将组件 webstorm 升级至 2023.1.6 及以上版本"
"将组件 goland 升级至 2023.2.7 及以上版本"
"将组件 goland 升级至 2023.3.7 及以上版本"
"将组件 goland 升级至 2024.1.3 及以上版本"
"将组件 clion 升级至 2023.3.5 及以上版本"
"将组件 clion 升级至 2024.2 EAP2 及以上版本"
"将组件 intellij_idea 升级至 2024.2 EAP3 及以上版本"
"将组件 phpstorm 升级至 2023.3.7 及以上版本"
"将组件 rubymine 升级至 2023.3.7 及以上版本"
"将组件 mps 升级至 2024.1 EAP2 及以上版本"
"将组件 dataspell 升级至 2023.1.6 及以上版本"
"将组件 dataspell 升级至 2023.3.6 及以上版本"
"将组件 intellij_idea 升级至 2023.2.7 及以上版本"
"将组件 phpstorm 升级至 2024.1.3 及以上版本"
"将组件 webstorm 升级至 2024.1.4 及以上版本"
"将组件 rustrover 升级至 2024.1.1 及以上版本"
"将组件 datagrip 升级至 2023.2.4 及以上版本"
"将组件 datagrip 升级至 2023.3.5 及以上版本"
"将组件 intellij_idea 升级至 2024.1.3 及以上版本"
"将组件 phpstorm 升级至 2023.2.6 及以上版本"
"将组件 rider 升级至 2024.1.3 及以上版本"
"将组件 rubymine 升级至 2023.2.7 及以上版本"
"将组件 rubymine 升级至 2024.1.3 及以上版本"
"将组件 goland 升级至 2023.1.6 及以上版本"
"将组件 dataspell 升级至 2024.1.2 及以上版本"
"将组件 clion 升级至 2023.2.4 及以上版本"
"将组件 phpstorm 升级至 2024.2 EAP3 及以上版本"
"将组件 webstorm 升级至 2023.3.7 及以上版本"
"将组件 goland 升级至 2024.2 EAP3 及以上版本"
"将组件 dataspell 升级至 2023.2.7 及以上版本"
"将组件 datagrip 升级至 2024.1.4 及以上版本"
"将组件 dataspell 升级至 2024.2 EAP1 及以上版本"
"将组件 datagrip 升级至 2023.1.3 及以上版本"
"将组件 clion 升级至 2024.1.3 及以上版本"
"将组件 mps 升级至 2023.3.1 及以上版本"
"将组件 phpstorm 升级至 2023.1.6 及以上版本"
"将组件 rider 升级至 2023.2.5 及以上版本"
"将组件 rider 升级至 2023.3.6 及以上版本"
"将组件 webstorm 升级至 2023.2.7 及以上版本"
"将组件 rubymine 升级至 2023.1.7 及以上版本"
"将组件 rubymine 升级至 2024.2 EAP4 及以上版本"
"将组件 mps 升级至 2023.2.1 及以上版本"
"将组件 intellij_idea 升级至 2023.1.7 及以上版本"
"将组件 intellij_idea 升级至 2023.3.7 及以上版本"
"将组件 rider 升级至 2023.1.7 及以上版本"
"将组件 clion 升级至 2023.1.7 及以上版本"
"将组件 aqua 升级至 2024.1.2 及以上版本"
参考链接
https://www.jetbrains.com/privacy-security/issues-fixed/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 jetbrains aqua * Up to
(excluding)
2024.1.2
运行在以下环境
应用 jetbrains clion * Up to
(excluding)
2023.1.7
运行在以下环境
应用 jetbrains clion * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.4
运行在以下环境
应用 jetbrains clion * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.5
运行在以下环境
应用 jetbrains clion * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains datagrip * From
(including)
2023.1.0 		Up to
(excluding)
2023.1.3
运行在以下环境
应用 jetbrains datagrip * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.4
运行在以下环境
应用 jetbrains datagrip * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.5
运行在以下环境
应用 jetbrains datagrip * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.4
运行在以下环境
应用 jetbrains dataspell * Up to
(excluding)
2023.1.6
运行在以下环境
应用 jetbrains dataspell * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.7
运行在以下环境
应用 jetbrains dataspell * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.6
运行在以下环境
应用 jetbrains dataspell * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.2
运行在以下环境
应用 jetbrains goland * Up to
(excluding)
2023.1.6
运行在以下环境
应用 jetbrains goland * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.7
运行在以下环境
应用 jetbrains goland * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.7
运行在以下环境
应用 jetbrains goland * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains intellij_idea * Up to
(excluding)
2023.1.7
运行在以下环境
应用 jetbrains intellij_idea * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.7
运行在以下环境
应用 jetbrains intellij_idea * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.7
运行在以下环境
应用 jetbrains intellij_idea * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains mps * Up to
(excluding)
2023.2.1
运行在以下环境
应用 jetbrains mps 2023.3.0 -
运行在以下环境
应用 jetbrains phpstorm * Up to
(excluding)
2023.1.6
运行在以下环境
应用 jetbrains phpstorm * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.6
运行在以下环境
应用 jetbrains phpstorm * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.7
运行在以下环境
应用 jetbrains phpstorm * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains pycharm * Up to
(excluding)
2023.1.6
运行在以下环境
应用 jetbrains pycharm * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.7
运行在以下环境
应用 jetbrains pycharm * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.6
运行在以下环境
应用 jetbrains pycharm * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains rider * Up to
(excluding)
2023.1.7
运行在以下环境
应用 jetbrains rider * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.5
运行在以下环境
应用 jetbrains rider * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.6
运行在以下环境
应用 jetbrains rider * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains rubymine * Up to
(excluding)
2023.1.7
运行在以下环境
应用 jetbrains rubymine * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.7
运行在以下环境
应用 jetbrains rubymine * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.7
运行在以下环境
应用 jetbrains rubymine * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.3
运行在以下环境
应用 jetbrains rustrover * Up to
(excluding)
2024.1.1
运行在以下环境
应用 jetbrains webstorm * Up to
(excluding)
2023.1.6
运行在以下环境
应用 jetbrains webstorm * From
(including)
2023.2.0 		Up to
(excluding)
2023.2.7
运行在以下环境
应用 jetbrains webstorm * From
(including)
2023.3.0 		Up to
(excluding)
2023.3.7
运行在以下环境
应用 jetbrains webstorm * From
(including)
2024.1.0 		Up to
(excluding)
2024.1.4
CVSS3评分
9.3
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE-ID 漏洞类型
CWE-522 不充分的凭证保护机制
阿里云安全产品覆盖情况