무슨 일이 있었나
Eclipse Theia 1.69.0 이전 버전(CVSS 8.4 HIGH, NVD June 18, 2026)에서 워크스페이스 파일(.theia/tasks.json, .vscode/tasks.json)의 사용자 정의 작업 정의가 워크스페이스 신뢰를 요구하지 않고 실행될 수 있습니다. 공격자는 악의적인 저장소를 작성하여 Theia에서 복제 및 열 때 신뢰 확인 프롬프트 없이 개발자의 컴퓨터에서 임의 명령어의 자동 실행으로 이어집니다.
왜 중요한가
이는 AI 강화 개발자 워크플로우에 영향을 미치는 저장소-RCE 벡터입니다: AI 에이전트가 작업을 자동 실행하거나 개발자가 AI 지원 코딩 세션에서 워크스페이스 정의 작업을 일상적으로 실행하는 환경에서 악의적인 저장소의 단일 git 복제가 추가 상호작용 없이 코드 실행을 달성합니다.
공격 경로
공격자가 악의적인 명령 정의로 .theia/tasks.json 또는 .vscode/tasks.json을 작성합니다. 개발자가 Theia에서 저장소를 복제 및 열면, 작업 정의가 워크스페이스 신뢰 강제 없이 실행되어 개발자의 컴퓨터에서 공격자 명령을 실행합니다.
영향받는 시스템
Eclipse Theia < 1.69.0
완화 방안
Eclipse Theia 1.69.0 이상으로 업그레이드하세요. CVE 할당 참조: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/116