Уязвимость XXE-атаки, приводящей к SSRF, в JetBrains IntelliJ IDEA при обращении к пользовательским репозиториям плагинов
Описание
В JetBrains IntelliJ IDEA была обнаружена уязвимость, позволяющая выполнить XXE-атаку (XML External Entity), что могло привести к SSRF (Server-Side Request Forgery) при обработке запросов к пользовательским репозиториям плагинов.
Затронутые версии ПО
- JetBrains IntelliJ IDEA до релиза 2022.3
Тип уязвимости
- XXE-атака
- SSRF
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2022.3 (исключая)
cpe:2.3:a:jetbrains:intellij_idea:*:*:*:*:*:*:*:*
EPSS
Процентиль: 0%
0.00002
Низкий
3.9 Low
CVSS3
5.5 Medium
CVSS3
Дефекты
CWE-611
CWE-611
Связанные уязвимости
CVSS3: 3.9
debian
около 3 лет назад
In JetBrains IntelliJ IDEA before 2022.3 an XXE attack leading to SSRF ...
CVSS3: 5.5
github
около 3 лет назад
In JetBrains IntelliJ IDEA before 2022.3 an XXE attack leading to SSRF via requests to custom plugin repositories was possible.
EPSS
Процентиль: 0%
0.00002
Низкий
3.9 Low
CVSS3
5.5 Medium
CVSS3
Дефекты
CWE-611
CWE-611