何が起きたか
Eclipse Theia 1.69.0 より前のバージョン(CVSS 8.4 HIGH、NVD 2026年6月18日)では、ワークスペースファイル(.theia/tasks.json、.vscode/tasks.json)内のカスタムタスク定義が、ワークスペース信頼の確認なしに実行される可能性がありました。攻撃者は悪意のあるリポジトリを作成でき、これが複製されて Theia で開かれると、開発者のマシン上で信頼確認プロンプトなしに任意のコマンドが自動実行されます。
なぜ重要か
これは AI 強化開発者ワークフローに影響する repository-as-RCE ベクトルです。AI エージェントがタスクを自動実行する環境や、開発者が AI 支援コーディングセッション中にワークスペース定義タスクを定期的に実行する環境では、悪意のあるリポジトリの単一 git clone でさらなるインタラクションなしにコード実行を達成できます。
攻撃経路
攻撃者は悪意のあるコマンド定義を含む .theia/tasks.json または .vscode/tasks.json を作成します。開発者がリポジトリを複製して Theia で開くと、タスク定義がワークスペース信頼を強制されることなく実行され、開発者のマシン上で攻撃者のコマンドが実行されます。
影響を受けるシステム
Eclipse Theia < 1.69.0
緩和策
Eclipse Theia 1.69.0 以降にアップグレードしてください。CVE 割り当てを参照してください:https://gitlab.eclipse.org/security/cve-assignment/-/work_items/116