Podatność w repozytorium Eclipse Theia Website pozwala dowolnemu użytkownikowi GitHub na wykonanie arbitralnego kodu w środowisku CI/CD organizacji. Wynika to z nieprawidłowej konfiguracji workflow GitHub Actions, która umożliwia uruchomienie niezaufanego kodu z pull requestów z dostępem do tajemnic repozytorium i rozległymi uprawnieniami zapisu.
▸ Pokaż oryginał (EN)
In the Eclipse Theia Website repository, the GitHub Actions workflow .github/workflows/preview.yml used pull_request_target trigger while checking out and executing untrusted pull request code. This allowed any GitHub user to execute arbitrary code in the repository's CI environment with access to repository secrets and a GITHUB_TOKEN with extensive write permissions (contents:write, packages:write, pages:write, actions:write). An attacker could exfiltrate secrets, publish malicious packages to the eclipse-theia organization, modify the official Theia website, and push malicious code to the repository.
Workflow .github/workflows/preview.yml używał triggera pull_request_target, który — w przeciwieństwie do pull_request — uruchamia się w kontekście repozytorium docelowego (z dostępem do sekretów), jednocześnie pobierając i wykonując kod z zewnętrznego pull requestu. Atakujący mógł otworzyć złośliwy pull request, którego kod był następnie wykonywany w uprzywilejowanym środowisku CI z dostępem do sekretów repozytorium oraz tokenu GITHUB_TOKEN posiadającego uprawnienia contents:write, packages:write, pages:write i actions:write. Jest to klasyczna technika exploitation tzw. 'pwn request', klasyfikowana jako CWE-829 (Inclusion of Functionality from Untrusted Control Sphere).
Atakujący mógł wykraść sekrety repozytorium, opublikować złośliwe pakiety do organizacji eclipse-theia, zmodyfikować oficjalną stronę projektu Theia oraz wstrzyknąć złośliwy kod bezpośrednio do repozytorium. Kompromitacja mogła objąć łańcuch dostaw oprogramowania dystrybuowanego przez organizację Eclipse.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomendowane działania obejmują zmianę triggera z pull_request_target na pull_request lub dodanie jawnej weryfikacji kodu przed jego wykonaniem, ograniczenie uprawnień GITHUB_TOKEN do niezbędnego minimum (zasada least privilege) oraz przegląd wszystkich workflow pod kątem analogicznych konfiguracji.
Repozytorium Eclipse Theia Website — workflow .github/workflows/preview.yml; środowisko CI/CD oparte na GitHub Actions z podatną konfiguracją triggera pull_request_target
Podatność zgłoszona i opublikowana 2026-01-30. Szczegóły dostępne w systemie śledzenia podatności Eclipse Security pod numerem issue 332 (gitlab.eclipse.org/security/vulnerability-reports/-/issues/332).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HEclipse Theia Website
APPEclipse< 2026-01-22
Powiązane podatności
An authenticated Remote Code Execution (RCE) vulnerability was identified in GlassFish's Administration Consol...
A critical Remote Code Execution (RCE) vulnerability was identified in the server-side template rendering mech...
Path Traversal w Eclipse OpenMQ umożliwia odczyt plików i potencjalny RCE
Eclipse OpenMQ — domyślne dane logowania umożliwiają przejęcie kontroli
Eclipse Cyclone DDS — błędna weryfikacja czasu certyfikatu umożliwia eskalację uprawnień