В PhpStorm обнаружены критические уязвимости, рекомендуется немедленное обновление

Сегодня JetBrains объявила, что выпустила обновление безопасности для PhpStorm и всех других IDE на основе IntelliJ из-за ряда критических уязвимостей:

Недостаток межсайтовой подделки запросов (CSRF) во встроенном веб-сервере IDE позволял злоумышленнику получить доступ к локальной файловой системе с вредоносной веб-страницы без согласия пользователя.

Чрезмерно разрешающие настройки CORS позволили злоумышленникам использовать вредоносный веб-сайт для доступа к различным внутренним конечным точкам API, получить доступ к данным, сохраненным в среде IDE, и собрать различную метаинформацию, такую ​​как версия IDE или открыть проект.

PhpStorm на сегодняшний день является самой популярной IDE для разработчиков PHP . Он также широко используется разработчиками WordPress, особенно после того, как в версии 8 добавлена ​​официальная поддержка WordPress .

Выпущенное сегодня обновление исправляет критические уязвимости внутри базовой платформы IntelliJ, на которой работает почти дюжина популярных IDE. Установить обновление так же просто, как выбрать «Проверить наличие обновлений» в среде IDE. Кроме того, клиенты могут загрузить самую последнюю версию с сайта JetBrains.com, а объявление о безопасности включает ссылки для загрузки более старых версий.

Хотя группе безопасности JetBrains не известно об использовании этих уязвимостей, рекомендуется немедленное обновление.