何が起きたか
Eclipse Theia 1.71.0より前のバージョン(CVSS 6.7 MEDIUM、NVD 2026年6月18日)では、AIチャットがAI応答からのMarkdownイメージタグをレンダリングし、制限なしに任意の外部URLへのHTTPリクエストをトリガーしていました。悪意のあるワークスペース(例:CVE-2026-44688またはCVE-2026-46580)経由のプロンプトインジェクションと組み合わせると、攻撃者はAIエージェントに流出したデータ(ファイルコンテンツ、認証情報)をエンコードするイメージURLを構築させ、レンダリングされた応答の一部として攻撃者制御サーバーに送信させることができました。
なぜ重要か
これはEclipse Theiaのデータ流出チェーンを完成させます:ワークスペースアーティファクト経由の間接プロンプトインジェクション(CVE-2026-44688/46580)→ AIエージェントが機密データをイメージURLに埋め込むよう指示される → Theiaがmarkdownをレンダリングしブラウザ/レンダラーが流出したデータを運ぶ帯域外HTTPリクエストを攻撃者サーバーに送信します。リポジトリを開く以上のユーザーインタラクションは必要ありません。
攻撃経路
ワークスペースファイル名または.prompttemplateファイル経由のプロンプトインジェクションがAIエージェントに機密コンテンツをMarkdownイメージURLに含めるよう指示します。Theiaがai応答をレンダリングするとき、エンコードされたデータを運ぶ攻撃者制御URLへのHTTPリクエストが作成されます。
影響を受けるシステム
Eclipse Theia < 1.71.0
緩和策
Eclipse Theia 1.71.0以降にアップグレードしてください。CVE割り当てを参照:https://gitlab.eclipse.org/security/cve-assignment/-/work_items/115