何が起きたか
Eclipse Theia 1.71.0より前のバージョン(CVSS 6.7 MEDIUM、NVD 2026年6月18日)では、AI チャットが AI レスポンスから Markdown image タグをレンダリングし、制限なく任意の外部 URL への HTTP リクエストをトリガーしていました。悪意のあるワークスペース(例:CVE-2026-44688 または CVE-2026-46580)を介したプロンプトインジェクションと組み合わせることで、攻撃者は AI エージェントに流出データ(ファイルコンテンツ、認証情報)をエンコードしたイメージ URL を構築させ、レンダリングされたレスポンスの一部として攻撃者が管理するサーバーに送信させることができました。
なぜ重要か
これは Eclipse Theia におけるデータ流出チェーンを完成させます:ワークスペースアーティファクト経由の間接的なプロンプトインジェクション(CVE-2026-44688/46580)→ AI エージェントが機密データを image URL に埋め込むよう指示される → Theia が markdown をレンダリングし、ブラウザ/レンダラーが流出したデータを攻撃者サーバーに送信するオンデマンド HTTP リクエストを実行します。リポジトリを開く以上のユーザーインタラクションは不要です。
攻撃経路
ワークスペースファイル名または .prompttemplate ファイル経由のプロンプトインジェクションが、AI エージェントに Markdown image URL に機密コンテンツを含めるよう指示します。Theia が AI レスポンスをレンダリングすると、エンコードされたデータを含む攻撃者が管理する URL への HTTP リクエストが実行されます。
影響を受けるシステム
Eclipse Theia < 1.71.0
緩和策
Eclipse Theia 1.71.0 以降にアップグレードしてください。CVE 割り当てを参照:https://gitlab.eclipse.org/security/cve-assignment/-/work_items/115