Уязвимость BDU:2024-04477

Идентификатор: BDU:2024-04477.

Наименование уязвимости: Уязвимость плагина JetBrains GitHub интегрированных сред разработки программного обеспечения JetBrains Aqua, CLion, DataGrip, DataSpell, GoLand, IntelliJ IDEA, MPS, PhpStorm, PyCharm, Rider, RubyMine, RustRover, WebStorm, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость плагина JetBrains GitHub интегрированных сред разработки программного обеспечения JetBrains Aqua, CLion, DataGrip, DataSpell, GoLand, IntelliJ IDEA, MPS, PhpStorm, PyCharm, Rider, RubyMine, RustRover, WebStorm связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём получения токена доступа
Уязвимое ПО: Прикладное ПО информационных систем JetBrains Aqua до 2024.1.2 | Прикладное ПО информационных систем JetBrains Clion до 2023.1.7 | Прикладное ПО информационных систем JetBrains Clion от 2023.2.0 до 2023.2.4 | Прикладное ПО информационных систем JetBrains Clion от 2023.3.0 до 2023.3.5 | Прикладное ПО информационных систем JetBrains Clion от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains Datagrip от 2023.1.0 до 2023.1.3 | Прикладное ПО информационных систем JetBrains Datagrip от 2023.2.0 до 2023.2.4 | Прикладное ПО информационных систем JetBrains Datagrip от 2023.3.0 до 2023.3.5 | Прикладное ПО информационных систем JetBrains Datagrip от 2024.1.0 до 2024.1.4 | Прикладное ПО информационных систем JetBrains Dataspell до 2023.1.6 | Прикладное ПО информационных систем JetBrains Dataspell от 2023.2.0 до 2023.2.7 | Прикладное ПО информационных систем JetBrains Dataspell от 2023.3.0 до 2023.3.6 | Прикладное ПО информационных систем JetBrains Dataspell от 2024.1.0 до 2024.1.2 | Прикладное ПО информационных систем JetBrains Goland до 2023.1.6 | Прикладное ПО информационных систем JetBrains Goland от 2023.2.0 до 2023.2.7 | Прикладное ПО информационных систем JetBrains Goland от 2023.3.0 до 2023.3.7 | Прикладное ПО информационных систем JetBrains Goland от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains IntelliJ IDEA до 2023.1.7 | Прикладное ПО информационных систем JetBrains IntelliJ IDEA от 2023.2.0 до 2023.2.7 | Прикладное ПО информационных систем JetBrains IntelliJ IDEA от 2023.3.0 до 2023.3.7 | Прикладное ПО информационных систем JetBrains IntelliJ IDEA от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains mps до 2023.2.1 | Прикладное ПО информационных систем JetBrains mps 2023.3.0 | Прикладное ПО информационных систем JetBrains PHPStorm до 2023.1.6 | Прикладное ПО информационных систем JetBrains PHPStorm от 2023.2.0 до 2023.2.6 | Прикладное ПО информационных систем JetBrains PHPStorm от 2023.3.0 до 2023.3.7 | Прикладное ПО информационных систем JetBrains PHPStorm от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains PYCharm до 2023.1.6 | Прикладное ПО информационных систем JetBrains PYCharm от 2023.2.0 до 2023.2.7 | Прикладное ПО информационных систем JetBrains PYCharm от 2023.3.0 до 2023.3.6 | Прикладное ПО информационных систем JetBrains PYCharm от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains Rider до 2023.1.7 | Прикладное ПО информационных систем JetBrains Rider от 2023.2.0 до 2023.2.5 | Прикладное ПО информационных систем JetBrains Rider от 2023.3.0 до 2023.3.6 | Прикладное ПО информационных систем JetBrains Rider от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains Rubymine до 2023.1.7 | Прикладное ПО информационных систем JetBrains Rubymine от 2023.2.0 до 2023.2.7 | Прикладное ПО информационных систем JetBrains Rubymine от 2023.3.0 до 2023.3.7 | Прикладное ПО информационных систем JetBrains Rubymine от 2024.1.0 до 2024.1.3 | Прикладное ПО информационных систем JetBrains rustrover до 2024.1.1 | Прикладное ПО информационных систем JetBrains WebStorm до 2023.1.6 | Прикладное ПО информационных систем JetBrains WebStorm от 2023.2.0 до 2023.2.7 | Прикладное ПО информационных систем JetBrains WebStorm от 2023.3.0 до 2023.3.7 | Прикладное ПО информационных систем JetBrains WebStorm от 2024.1.0 до 2024.1.4 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.06.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— отзыв токенов доступа GitHub, используемые плагином;
— отмена доступа к приложению интеграции JetBrains IDE;
— удаление токена, выданного для плагина;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://www.jetbrains.com/privacy-security/issues-fixed/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-37051.

Тип ошибки CWE: CWE-522
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.jetbrains.com/privacy-security/issues-fixed/

Чтобы найти рабочую ссылку Кракен, важно обращаться к надежным и проверенным источникам. Ссылки на площадку часто меняются из-за блокировок и попыток противодействия со стороны властей, поэтому актуальная информация играет ключевую роль. Наш сервис предлагает обновленные ссылки на Кракен, которые проходят тщательную проверку для обеспечения безопасности пользователей.

Для безопасного доступа рекомендуется использовать Tor браузер, который защищает вашу конфиденциальность и позволяет обойти любые ограничения. Скопируйте рабочую ссылку с нашего ресурса и откройте её через Tor, чтобы получить полный доступ к маркетплейсу без риска столкнуться с фишинговыми сайтами.