🔴 严重 | CVE-2026-59792 — In JetBrains IntelliJ IDEA before 2026.1.4, 2026....
🔴 《严重安全漏洞:CVE-2026-59792》
CVSS 评分: 严重(9.6) 状态: Received 发布时间: 2026-07-10
漏洞简介
CVE-2026-59792 是一个影响 JetBrains IntelliJ IDEA 集成开发环境(IDE)的安全漏洞。该漏洞属于路径遍历(Path Traversal) 类型,对应 CWE-23 分类。
具体来说,在 JetBrains IntelliJ IDEA 中,当处理项目工作区标识符(project workspace ID)时,存在一个路径遍历缺陷。攻击者可以利用此漏洞,通过操纵项目工作区 ID 的输入,导致 IDE 在解析或处理相关路径时跳出预期的目录限制,从而在系统上执行任意代码(code execution)。
该漏洞的触发不需要攻击者提供有效的身份认证(PR:N),且攻击复杂度较低(AC:L),但需要用户交互(UI:R),例如诱导用户打开一个恶意构造的项目文件或链接。
影响范围
- 受影响产品:JetBrains IntelliJ IDEA
- 受影响版本:
- 2026.1.4 之前的版本
- 2026.2 版本
- 修复版本:JetBrains 已在 2026.1.4 及后续版本中修复此问题。建议用户升级至 2026.1.4 或更高版本。
风险分析
根据 CVSS 3.1 评分向量(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L),该漏洞的严重性评级为 高危。
- 攻击路径与复杂度:攻击者可以通过网络远程发起攻击,无需任何权限,且攻击手段简单。唯一的限制是需要用户交互,例如用户打开一个恶意的项目文件或点击一个精心构造的链接。
- 影响后果:
- 机密性影响(C:H):攻击者可能读取系统上的任意文件,包括源代码、配置文件、密钥等敏感信息。
- 完整性影响(I:H):攻击者可能修改系统上的任意文件,或向项目中注入恶意代码,从而破坏开发环境的完整性。
- 可用性影响(A:L):攻击可能导致 IDE 崩溃或资源被异常占用,对可用性造成一定影响。
- 利用场景:攻击者可以构造一个包含恶意项目工作区 ID 的 IntelliJ IDEA 项目文件,并通过社交工程手段诱骗开发者打开。一旦打开,攻击者即可在受害者的开发环境中执行任意代码,进而完全控制该开发环境,甚至可能以此为跳板攻击内部网络或生产系统。
总结:该漏洞允许攻击者在未授权的情况下,通过路径遍历在受害者的 IntelliJ IDEA 中执行任意代码,对开发环境的安全构成严重威胁。用户应尽快升级到修复版本。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-59792 |
| CVSS 评分 | 9.6 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L |
| CWE 分类 | CWE-23 |
| 发布时间 | 2026-07-10 |
| 最后更新 | 2026-07-10 |
| 状态 | Received |
| 数据来源 | cve@jetbrains.com |
🔗 参考链接
💬 评论