CRITICAL🇬🇧 English

CVE-2026-1699

Eclipse Theia Website: RCE w CI/CD przez podatny trigger GitHub Actions

CVSS 10.0v3.1pub. 2026-01-30upd. 2026-03-10

Podatność w repozytorium Eclipse Theia Website pozwala dowolnemu użytkownikowi GitHub na wykonanie arbitralnego kodu w środowisku CI/CD organizacji. Wynika to z nieprawidłowej konfiguracji workflow GitHub Actions, która umożliwia uruchomienie niezaufanego kodu z pull requestów z dostępem do tajemnic repozytorium i rozległymi uprawnieniami zapisu.

Pokaż oryginał (EN)

In the Eclipse Theia Website repository, the GitHub Actions workflow .github/workflows/preview.yml used pull_request_target trigger while checking out and executing untrusted pull request code. This allowed any GitHub user to execute arbitrary code in the repository's CI environment with access to repository secrets and a GITHUB_TOKEN with extensive write permissions (contents:write, packages:write, pages:write, actions:write). An attacker could exfiltrate secrets, publish malicious packages to the eclipse-theia organization, modify the official Theia website, and push malicious code to the repository.

🤖 Analiza AI
Jak działa

Workflow .github/workflows/preview.yml używał triggera pull_request_target, który — w przeciwieństwie do pull_request — uruchamia się w kontekście repozytorium docelowego (z dostępem do sekretów), jednocześnie pobierając i wykonując kod z zewnętrznego pull requestu. Atakujący mógł otworzyć złośliwy pull request, którego kod był następnie wykonywany w uprzywilejowanym środowisku CI z dostępem do sekretów repozytorium oraz tokenu GITHUB_TOKEN posiadającego uprawnienia contents:write, packages:write, pages:write i actions:write. Jest to klasyczna technika exploitation tzw. 'pwn request', klasyfikowana jako CWE-829 (Inclusion of Functionality from Untrusted Control Sphere).

Skutki

Atakujący mógł wykraść sekrety repozytorium, opublikować złośliwe pakiety do organizacji eclipse-theia, zmodyfikować oficjalną stronę projektu Theia oraz wstrzyknąć złośliwy kod bezpośrednio do repozytorium. Kompromitacja mogła objąć łańcuch dostaw oprogramowania dystrybuowanego przez organizację Eclipse.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomendowane działania obejmują zmianę triggera z pull_request_target na pull_request lub dodanie jawnej weryfikacji kodu przed jego wykonaniem, ograniczenie uprawnień GITHUB_TOKEN do niezbędnego minimum (zasada least privilege) oraz przegląd wszystkich workflow pod kątem analogicznych konfiguracji.

Kogo dotyczy

Repozytorium Eclipse Theia Website — workflow .github/workflows/preview.yml; środowisko CI/CD oparte na GitHub Actions z podatną konfiguracją triggera pull_request_target

Uwagi

Podatność zgłoszona i opublikowana 2026-01-30. Szczegóły dostępne w systemie śledzenia podatności Eclipse Security pod numerem issue 332 (gitlab.eclipse.org/security/vulnerability-reports/-/issues/332).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Eclipse Theia Website

    APP
    Eclipse
    < 2026-01-22
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECI/CD
CWE
Referencje

Powiązane podatności

CVE-2026-2586CRITICAL9.1ten sam vendor

An authenticated Remote Code Execution (RCE) vulnerability was identified in GlassFish's Administration Consol...

CVE-2026-2587CRITICAL9.6ten sam vendor

A critical Remote Code Execution (RCE) vulnerability was identified in the server-side template rendering mech...

CVE-2026-24457CRITICAL9.1PL ✓ten sam vendor

Path Traversal w Eclipse OpenMQ umożliwia odczyt plików i potencjalny RCE

CVE-2026-22886CRITICAL9.8PL ✓ten sam vendor

Eclipse OpenMQ — domyślne dane logowania umożliwiają przejęcie kontroli

CVE-2025-67109CRITICAL10.0PL ✓ten sam vendor

Eclipse Cyclone DDS — błędna weryfikacja czasu certyfikatu umożliwia eskalację uprawnień