CVE-2026-1699

CRÍTIC (10,0)

CVSS3: 0,0

Al repositori del lloc web d’Eclipse Theia, el flux de treball de GitHub Actions .github/workflows/preview.yml va fer servir l’activador pull_request_target mentre feia la consulta i executava el codi de sol·licitud d’extracció no fiable. Això va permetre que qualsevol usuari de GitHub executés codi arbitrari a l’entorn CI del repositori amb accés als secrets del repositori i un GITHUB_TOKEN amb permisos amplis d’escriptura (content:write, packages:write, pages:write, actions:write). Un atacant podria exfiltrar secrets, publicar paquets maliciosos a l’organització Eclipse-Theia, modificar el lloc web oficial de Theia i enviar codi maliciós al repositori.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• Eclipse Foundation Eclipse Theia – Website 0

Remediació

No hi ha cap recurs disponible a partir del 30 de gener del 2026.Vegeu-ne les Referències.

Referències

• • • https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/332 
    • https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2026/1xxx/CVE-2026-1699.json