Компания JetBrains выпустила обновление интегрированной среды разработки GoLand версии 2026.1.3, которое закрывает уязвимость, связанную с выполнением произвольного кода через недоверенную конфигурацию проекта. Проблема зарегистрирована как CVE-2026-53915 и получила высокий уровень опасности по шкале CVSS. Ошибка затрагивает все версии GoLand до 2026.1.3 включительно.
Детали уязвимости
Уязвимость относится к категории CWE-73 (Внешний контроль имени файла или пути). Она возникает из-за того, что среда разработки обрабатывает файлы конфигурации проекта, не проверяя их происхождение. Злоумышленник мог бы подготовить специально сформированный проект - например, разместить его в репозитории, на форуме или в сообществе разработчиков - и убедить жертву открыть его в GoLand. При загрузке конфигурации среда исполняла бы вредоносные инструкции с правами текущего пользователя. Это позволяет выполнить произвольный код на машине жертвы без её ведома.
Технически атака не требует сложных действий. Атакующему достаточно изменить файлы параметров сборки или запуска внутри проекта, которые GoLand обрабатывает автоматически. Механизм эксплуатации похож на проблемы, ранее обнаруженные в других IDE компании - например, в IntelliJ IDEA и PyCharm, где похожие ошибки уже исправлялись. Однако каждый случай уникален из-за разных путей обработки конфигурации.
GoLand - популярная среда для разработки на языке Go. Её используют как индивидуальные программисты, так и крупные команды в корпоративном секторе. Уязвимость такого типа представляет особую опасность для цепочек поставок: злоумышленник может скомпрометировать проект, который затем попадёт в репозиторий и будет открыт сотнями разработчиков. В результате атакующий получает доступ к внутренним сетям, исходному коду, учётным данным и ключам шифрования.
JetBrains сообщила об уязвимости в собственном бюллетене безопасности, опубликованном 5 июля 2025 года. Исследователь, обнаруживший проблему, не раскрыт. Компания рекомендует всем пользователям немедленно обновиться до версии 2026.1.3. Обновление распространяется через официальный сайт JetBrains и встроенный механизм обновления в самой IDE. Для тех, кто по каким-то причинам не может установить патч, временной мерой защиты может стать отказ от открытия проектов из ненадёжных источников, а также проверка конфигурационных файлов вручную перед загрузкой.
Разработчикам следует не только обновлять IDE, но и соблюдать базовые правила гигиены: проверять происхождение проектов перед открытием, использовать изолированные окружения и не предоставлять средам разработки права администратора без необходимости. В корпоративной среде стоит внедрить политику автоматического обновления лицензированного ПО и ограничить возможность установки сторонних плагинов из непроверенных источников.
Уязвимость CVE-2026-53915 не является единичным случаем. В 2024-2025 годах в IDE разных вендоров находили ошибки, позволяющие выполнять код через конфигурационные файлы, через подключаемые модули или через интеграцию с системами контроля версий. Это общая тенденция: чем больше возможностей для настройки и расширения получает среда, тем шире поверхность атаки. Для JetBrains выпуск исправления - рутинная процедура, но для пользователей - сигнал вовремя обновляться и сохранять осторожность при работе с чужим кодом.
Ссылки
