무슨 일이 있었나
Eclipse Theia 1.69.0 이전 버전 (CVSS 8.4 HIGH, NVD June 18, 2026)에서 워크스페이스 파일 (.theia/tasks.json, .vscode/tasks.json)의 커스텀 작업 정의는 워크스페이스 신뢰 확인 없이 실행될 수 있습니다. 공격자는 악성 리포지토리를 작성하여, Theia에서 복제 및 열었을 때 개발자의 머신에서 신뢰 확인 프롬프트 없이 임의 명령어가 자동으로 실행되도록 할 수 있습니다.
왜 중요한가
이는 AI 강화 개발자 워크플로우에 영향을 미치는 repository-as-RCE 벡터입니다: AI 에이전트가 자동으로 작업을 실행하거나 개발자가 AI 지원 코딩 세션에서 워크스페이스 정의 작업을 정기적으로 실행하는 환경에서, 악성 리포지토리의 단일 git clone으로 추가 상호 작용 없이 코드 실행이 달성됩니다.
공격 경로
공격자는 악성 명령어 정의가 포함된 .theia/tasks.json 또는 .vscode/tasks.json을 작성합니다. 개발자가 리포지토리를 Theia에서 복제하고 열면, 워크스페이스 신뢰가 적용되지 않아 작업 정의가 실행되어 개발자 머신에서 공격자 명령어를 실행합니다.
영향받는 시스템
Eclipse Theia < 1.69.0
완화 방안
Eclipse Theia 1.69.0 이상으로 업그레이드하십시오. CVE 할당 참조: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/116