何が起きたか
Eclipse Theia 1.69.0より前のバージョン(CVSS 8.4 HIGH、NVD 2026年6月18日)では、ワークスペースファイル(.theia/tasks.json、.vscode/tasks.json)内のカスタムタスク定義がワークスペース信頼を必要とせずに実行される可能性がありました。攻撃者は悪意のあるリポジトリを作成し、Theiaで複製および開くと、信頼確認プロンプトなしに開発者のマシン上で任意のコマンドが自動的に実行されます。
なぜ重要か
これはAI強化開発ワークフローに影響するリポジトリとしてのRCEベクトルです。AIエージェントがタスクを自動実行する環境や、開発者がAI支援コーディングセッション中にワークスペース定義タスクを日常的に実行する環境では、悪意のあるリポジトリの単一のgit cloneでさらなる相互作用なしにコード実行が達成されます。
攻撃経路
攻撃者は悪意のあるコマンド定義を含む.theia/tasks.jsonまたは.vscode/tasks.jsonを作成します。開発者がTheiaでリポジトリを複製および開くと、ワークスペース信頼が強制されずにタスク定義が実行され、攻撃者のコマンドが開発者のマシン上で実行されます。
影響を受けるシステム
Eclipse Theia < 1.69.0
緩和策
Eclipse Theia 1.69.0以降にアップグレードしてください。CVE割り当てを参照: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/116