Сегодня JetBrains объявила, что выпустила обновление безопасности для PhpStorm и всех других IDE на основе IntelliJ из-за ряда критических уязвимостей:
Недостаток межсайтовой подделки запросов (CSRF) во встроенном веб-сервере IDE позволял злоумышленнику получить доступ к локальной файловой системе с вредоносной веб-страницы без согласия пользователя.
Чрезмерно разрешающие настройки CORS позволили злоумышленникам использовать вредоносный веб-сайт для доступа к различным внутренним конечным точкам API, получить доступ к данным, сохраненным в среде IDE, и собрать различную метаинформацию, такую как версия IDE или открыть проект.
PhpStorm на сегодняшний день является самой популярной IDE для разработчиков PHP . Он также широко используется разработчиками WordPress, особенно после того, как в версии 8 добавлена официальная поддержка WordPress .
Выпущенное сегодня обновление исправляет критические уязвимости внутри базовой платформы IntelliJ, на которой работает почти дюжина популярных IDE. Установить обновление так же просто, как выбрать «Проверить наличие обновлений» в среде IDE. Кроме того, клиенты могут загрузить самую последнюю версию с сайта JetBrains.com, а объявление о безопасности включает ссылки для загрузки более старых версий.
Хотя группе безопасности JetBrains не известно об использовании этих уязвимостей, рекомендуется немедленное обновление.
