CVE-2026-44691
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W wersjach Eclipse Theia przed 1.69.0, niestandardowe definicje zadań w plikach roboczych mogły być wykonywane bez wymogu zaufania do przestrzeni roboczej. Atakujący mógł stworzyć złośliwe repozytorium, które po sklonowaniu i otwarciu w Theia prowadziło do wykonania dowolnych poleceń z uprawnieniami użytkownika.
Ocena ryzyka
Organizacja może być narażona na wykonanie złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. W połączeniu z funkcjami czatu AI, ryzyko automatycznego uruchomienia złośliwych poleceń wzrasta.
Rekomendacja
Zaleca się aktualizację Eclipse Theia do wersji 1.69.0 lub nowszej oraz wprowadzenie polityki zaufania do przestrzeni roboczej, aby zminimalizować ryzyko wykonania nieautoryzowanych zadań.
Oryginalny opis (angielski, źródło NVD)
In Eclipse Theia versions prior to 1.69.0, custom task definitions in workspace files (e.g. .theia/tasks.json, .vscode/tasks.json) could be executed without requiring workspace trust. An attacker could craft a malicious repository that, when cloned and opened in Theia, leads to execution of arbitrary commands with the user's privileges. In combination with AI chat features and a workspace .theia/settings.json that disabled tool confirmation, this could be triggered automatically by sending a message in the AI chat.

