Apa yang terjadi
Dalam versi Eclipse Theia sebelum 1.69.0 (CVSS 8.4 HIGH, NVD 18 Juni 2026), definisi task kustom dalam file workspace (.theia/tasks.json, .vscode/tasks.json) dapat dieksekusi tanpa memerlukan kepercayaan workspace. Penyerang dapat membuat repository berbahaya yang, ketika diklon dan dibuka di Theia, menyebabkan eksekusi otomatis perintah arbitrer pada mesin pengembang tanpa ada permintaan konfirmasi kepercayaan.
Mengapa penting
Ini adalah vektor repository-as-RCE yang memengaruhi alur kerja pengembang yang ditingkatkan AI: di lingkungan tempat agen AI menjalankan task secara otomatis atau pengembang secara rutin mengeksekusi task yang ditentukan workspace dalam sesi coding berbantu AI, satu git clone dari repository berbahaya mencapai eksekusi kode tanpa interaksi lebih lanjut yang diperlukan.
Vektor serangan
Penyerang membuat .theia/tasks.json atau .vscode/tasks.json dengan definisi perintah berbahaya. Pengembang mengklon dan membuka repository di Theia; definisi task dieksekusi tanpa kepercayaan workspace ditegakkan, menjalankan perintah penyerang pada mesin pengembang.
Sistem yang terdampak
Eclipse Theia < 1.69.0
Mitigasi
Upgrade ke Eclipse Theia 1.69.0 atau lebih baru. Lihat penugasan CVE: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/116