Apa yang terjadi
Dalam versi Eclipse Theia sebelum 1.69.0 (CVSS 8.4 HIGH, NVD 18 Juni 2026), definisi tugas kustom dalam file workspace (.theia/tasks.json, .vscode/tasks.json) dapat dieksekusi tanpa memerlukan kepercayaan workspace. Penyerang dapat membuat repositori berbahaya yang, ketika di-clone dan dibuka di Theia, menyebabkan eksekusi otomatis perintah arbitrer pada mesin pengembang tanpa prompt konfirmasi kepercayaan apa pun.
Mengapa penting
Ini adalah vektor repository-as-RCE yang mempengaruhi alur kerja pengembang yang ditingkatkan AI: di lingkungan di mana agen AI menjalankan tugas secara otomatis atau pengembang secara rutin mengeksekusi tugas yang ditentukan workspace dalam sesi coding berbantu AI, satu git clone dari repositori berbahaya mencapai eksekusi kode tanpa interaksi lebih lanjut yang diperlukan.
Vektor serangan
Penyerang membuat .theia/tasks.json atau .vscode/tasks.json dengan definisi perintah berbahaya. Pengembang melakukan clone dan membuka repositori di Theia; definisi tugas dieksekusi tanpa kepercayaan workspace ditegakkan, menjalankan perintah penyerang pada mesin pengembang.
Sistem yang terdampak
Eclipse Theia < 1.69.0
Mitigasi
Tingkatkan ke Eclipse Theia 1.69.0 atau lebih baru. Lihat penugasan CVE: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/116