概要
Eclipse Theia Websiteリポジトリの GitHub Actions ワークフローにおいて、pull_request_target トリガーの不適切な使用に起因する任意コード実行の脆弱性が発見されました。このワークフローでは、未信頼のプルリクエストから提出されたコードをチェックアウトし、CI環境上で実行する構成となっていました。
この脆弱性により、任意のGitHubユーザーが悪意あるプルリクエストを作成することで、CI/CD環境上で任意のコードを実行できます。pull_request_target イベントはベースブランチの権限で実行されるため、リポジトリシークレットの窃取、npmパッケージの不正公開、Webサイトの改ざん、さらにはソースコードへのバックドア注入まで可能となる深刻な脆弱性です。
サプライチェーン攻撃の起点となり得るため、CVSS最高スコアの10.0が付与されています。Eclipse Theiaを利用するプロジェクトや、同様の pull_request_target パターンを採用しているリポジトリは、自身のワークフロー設定を再点検することを推奨します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 10.0 |
| 深刻度 | Critical |
| CWE | CWE-829 (信頼されないソースからの機能取り込み) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Eclipse Theia Website | Eclipse Foundation | 修正前のリポジトリ |
修正バージョンと回避策
- 修正バージョン: ワークフロー修正済み。リポジトリの最新状態を反映すること
- 暫定回避策:
pull_request_targetトリガーを使用するワークフローで、未信頼のPRコードのチェックアウト・実行を行わないよう構成を見直す
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。