🔴 《严重安全漏洞:CVE-2026-59792》

CVSS 评分: 严重(9.6)  状态: Received  发布时间: 2026-07-10


漏洞简介

CVE-2026-59792 是一个影响 JetBrains IntelliJ IDEA 集成开发环境(IDE)的安全漏洞。该漏洞属于路径遍历(Path Traversal) 类型,对应 CWE-23 分类。

具体来说,在 JetBrains IntelliJ IDEA 中,当处理项目工作区标识符(project workspace ID)时,存在一个路径遍历缺陷。攻击者可以利用此漏洞,通过操纵项目工作区 ID 的输入,导致 IDE 在解析或处理相关路径时跳出预期的目录限制,从而在系统上执行任意代码(code execution)。

该漏洞的触发不需要攻击者提供有效的身份认证(PR:N),且攻击复杂度较低(AC:L),但需要用户交互(UI:R),例如诱导用户打开一个恶意构造的项目文件或链接。

影响范围

  • 受影响产品:JetBrains IntelliJ IDEA
  • 受影响版本
    • 2026.1.4 之前的版本
    • 2026.2 版本
  • 修复版本:JetBrains 已在 2026.1.4 及后续版本中修复此问题。建议用户升级至 2026.1.4 或更高版本。

风险分析

根据 CVSS 3.1 评分向量(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L),该漏洞的严重性评级为 高危

  • 攻击路径与复杂度:攻击者可以通过网络远程发起攻击,无需任何权限,且攻击手段简单。唯一的限制是需要用户交互,例如用户打开一个恶意的项目文件或点击一个精心构造的链接。
  • 影响后果
    • 机密性影响(C:H):攻击者可能读取系统上的任意文件,包括源代码、配置文件、密钥等敏感信息。
    • 完整性影响(I:H):攻击者可能修改系统上的任意文件,或向项目中注入恶意代码,从而破坏开发环境的完整性。
    • 可用性影响(A:L):攻击可能导致 IDE 崩溃或资源被异常占用,对可用性造成一定影响。
  • 利用场景:攻击者可以构造一个包含恶意项目工作区 ID 的 IntelliJ IDEA 项目文件,并通过社交工程手段诱骗开发者打开。一旦打开,攻击者即可在受害者的开发环境中执行任意代码,进而完全控制该开发环境,甚至可能以此为跳板攻击内部网络或生产系统。

总结:该漏洞允许攻击者在未授权的情况下,通过路径遍历在受害者的 IntelliJ IDEA 中执行任意代码,对开发环境的安全构成严重威胁。用户应尽快升级到修复版本。


🔍 技术细节

字段
CVE ID CVE-2026-59792
CVSS 评分 9.6 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L
CWE 分类 CWE-23
发布时间 2026-07-10
最后更新 2026-07-10
状态 Received
数据来源 cve@jetbrains.com

🔗 参考链接