В сфере кибербезопасности разработчиков выявлена серьёзная угроза. В Банке данных угроз (BDU) зарегистрирована новая уязвимость под идентификатором BDU:2026-01743. Эта уязвимость затрагивает популярное расширение GitHub Copilot для интегрированных сред разработки (IDE) от JetBrains, включая IntelliJ IDEA, PyCharm и другие. Проблема, получившая идентификатор CVE-2026-21516, классифицируется как критическая и позволяет злоумышленнику выполнить произвольный код на компьютере жертвы.
Детали уязвимости
Уязвимость существует в плагине GitHub Copilot для JetBrains версий до 1.5.63. Её техническая суть заключается в недостаточной очистке входных данных на управляющем уровне, что относится к классу уязвимостей внедрения команд (CWE-77). Проще говоря, механизм плагина, предназначенный для обработки определённых данных, не проверяет их должным образом на наличие вредоносных инструкций. Следовательно, атакующий, действуя удалённо, может подготовить специальные данные, которые, будучи обработанными плагином, приведут к выполнению произвольных команд в системе. Это предоставляет злоумышленнику практически полный контроль над заражённой рабочей станцией разработчика.
Оценка по методологии CVSS подчёркивает высокую степень опасности. По шкале CVSS 2.0 уязвимость получила максимальный базовый балл 10.0, что соответствует критическому уровню. Более современная оценка CVSS 3.1 присваивает ей 8.8 баллов, что классифицируется как высокий уровень опасности. Разница в оценках обусловлена эволюцией самой методологии, но оба значения сигнализируют о серьёзной угрозе. Ключевыми факторами являются возможность атаки через сеть без необходимости аутентификации и минимальная сложность эксплуатации. Кроме того, для успешной атаки может потребоваться некоторое взаимодействие с пользователем, например, открытие специально сконструированного проекта или файла в среде разработки.
Эксплуатация данной уязвимости открывает путь для масштабных атак. Злоумышленник может установить на компьютер разработчика программы-шпионы, криптоджекинг-софт или даже обеспечить себе постоянное присутствие (persistence) в системе для долгосрочного шпионажа. Наиболее разрушительным сценарием является развёртывание вредоносной нагрузки в виде шифровальщика (ransomware). В таком случае под угрозой окажутся не только исходные коды текущих проектов, но и вся рабочая среда. Учитывая, что целевой аудиторией плагина являются профессиональные разработчики, потенциальный ущерб от компрометации коммерческих или исследовательских проектов может исчисляться миллионами рублей.
Важно отметить, что на момент публикации новости информация о наличии активных эксплойтов в открытом доступе уточняется. Однако высокая оценка CVSS и относительная простота эксплуатации делают вероятным появление таких инструментов в краткосрочной перспективе. Следовательно, меры по защите необходимо принять незамедлительно.
К счастью, производитель отреагировал оперативно. Компания Microsoft, владелец GitHub, уже подтвердила наличие уязвимости и выпустила исправление. Согласно официальному бюллетеню безопасности Microsoft, уязвимость была устранена. Единственным эффективным способом защиты является обновление программного обеспечения. Все пользователи GitHub Copilot для JetBrains IDE должны немедленно обновить плагин до версии 1.5.63 или новее. Обновление обычно происходит через встроенный менеджер плагинов в самой среде разработки JetBrains. Также рекомендуется следить за официальными каналами Microsoft Security Response Center.
Данный инцидент служит важным напоминанием для всего сообщества разработчиков. Даже инструменты, созданные для повышения продуктивности и безопасности кода, такие как интеллектуальные помощники на базе искусственного интеллекта, сами могут становиться вектором атаки. Регулярное и своевременное обновление всего программного стека, включая плагины и расширения, является фундаментальной практикой кибергигиены. Особенно это критично в средах, где обрабатывается ценная интеллектуальная собственность. Таким образом, хотя непосредственная угроза уже нейтрализована производителем, её обнаружение подчёркивает необходимость комплексного подхода к безопасности жизненного цикла разработки программного обеспечения.
Ссылки
- https://bdu.fstec.ru/vul/2026-01743
- https://www.cve.org/CVERecord?id=CVE-2026-21516
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21516
