【安全资讯】JetBrains修复IntelliJ IDE漏洞，暴露GitHub访问令牌

概要：

JetBrains近日修复了其IntelliJ集成开发环境（IDE）应用中的一个关键漏洞，该漏洞可能导致GitHub访问令牌泄露。此漏洞影响2023.1及以后的版本，且启用了JetBrains GitHub插件的用户。JetBrains强烈建议用户尽快更新到最新版本，并撤销任何已使用的GitHub令牌。

主要内容：

JetBrains公司在2024年5月29日收到了一份外部安全报告，指出其IntelliJ集成开发环境（IDE）存在一个严重漏洞，编号为CVE-2024-37051。该漏洞影响2023.1及以后的所有IntelliJ IDE版本，且启用了JetBrains GitHub插件的用户。报告显示，特制的内容在处理GitHub项目的拉取请求时，可能会将访问令牌泄露给第三方网站。

JetBrains公司迅速采取行动，发布了修复版本，覆盖了多个IDE产品，包括Aqua、CLion、DataGrip、DataSpell、GoLand、IntelliJ IDEA、MPS、PhpStorm、PyCharm、Rider、RubyMine、RustRover和WebStorm。用户被强烈建议更新到最新版本，以防止潜在的安全风险。

对于使用GitHub拉取请求功能的用户，JetBrains建议撤销任何由插件使用的GitHub令牌。对于OAuth集成，用户应通过“应用程序→授权的OAuth应用程序”撤销JetBrains IDE集成应用的访问权限。对于个人访问令牌（PAT），用户应在令牌页面删除为插件发放的令牌，通常命名为“IntelliJ IDEA GitHub集成插件”。

虽然JetBrains没有透露该漏洞是否已在野外被利用，但公司在其公告中强调了更新的重要性，并敦促用户尽快采取行动，以确保其开发环境的安全。此次事件提醒开发者和企业在使用第三方插件时，需时刻保持警惕，及时更新软件版本，防范潜在的安全威胁。