← voltar
CVE-2026-44688

CVE-2026-44688

CVSS 8.4 HIGHEPSS 0.3%CWE-1427CWE-829
Em resumo

A ferramenta de chat com IA do Eclipse Theia não separava corretamente nomes de arquivos e pastas das instruções do sistema, permitindo que atacantes embutissem comandos maliciosos em nomes de diretórios que a IA executaria. Isso poderia roubar dados ou executar comandos não autorizados no seu computador.

Detalhe técnico

CWE-1427 (Elemento de Caminho de Busca Descontrolado) e CWE-829 (Inclusão de Funcionalidade de Esfera de Controle Não Confiável): O agente de IA concatena nomes de arquivos e diretórios não sanitizados do workspace no contexto do prompt sem proteção contra injeção. Um atacante pode criar um repositório malicioso com nomes adversariais que injetam instruções no fluxo de execução da IA, permitindo exfiltração de dados via renderização de imagens Markdown ou execução arbitrária de comandos através de definições de tarefas em workspaces não confiáveis.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In Eclipse Theia versions prior to 1.71.0, the AI chat agent processed workspace file and directory names as part of its prompt context without distinguishing them from system instructions. An attacker could craft a malicious repository with adversarial directory or file names that, when analyzed by the AI agent, would cause the agent to follow attacker-controlled instructions (indirect prompt injection). Combined with other AI chat features available in untrusted workspaces, this enabled attack chains leading to data exfiltration via Markdown image rendering or arbitrary command execution via task definitions.
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Eclipse Foundation · Eclipse Theia

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://gitlab.eclipse.org/security/cve-assignment/-/work_items/113