Al repositori d’Eclipse Theia Website, el flux de treball de GitHub Actions .github/workflows/preview.yml va utilitzar el disparador pull_request_target mentre extreia i executava codi de sol·licitud d’extracció no confiable.
16/03/2026
CVE-2026-1699
CRÍTIC (10,0)
CVSS3: 0,0
Al repositori d’Eclipse Theia Website, el flux de treball de GitHub Actions .github/workflows/preview.yml va utilitzar el disparador pull_request_target mentre extreia i executava codi de sol·licitud d’extracció no fiable. Això va permetre a qualsevol usuari de GitHub executar codi arbitrari al voltant de CI del repositori amb accés a secrets del repositori i un GITHUB_TOKEN amb amplis permisos d’escriptura (contents:write, packages:write, pages:write, actions:write). Un atacant podria exfiltrar secrets, publicar paquets maliciosos a l’organització eclipsi-theia, modificar el lloc web oficial de Theia i enviar codi maliciós al repositori.
post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}
Sistemes Afectats
- Eclipse Theia Website
Remediació
Vegeu-ne les Referències.
Referències
