CVE-2020-14368

Versões do Eclipse Che anteriores à 7.14.0

Uma falha no Eclipse Che afeta o CodeReady Workspaces, permitindo um ataque de falsificação de solicitação entre sites (CSRF) e um sequestro de WebSocket entre sites no Theia IDE quando configurado com autenticação por cookies. Isso ocorre porque o Theia IDE não define corretamente o valor SameSite. A falha permite que um invasor obtenha acesso total ao espaço de trabalho da vítima por meio do endpoint “/services”. Para realizar um ataque bem-sucedido, o invasor executa um ataque Man-in-the-middle (MITM) e induz a vítima a executar uma solicitação por meio de um link não confiável, o que realiza o CSRF e o sequestro de Socket. A maior ameaça dessa vulnerabilidade é à confidencialidade, integridade e disponibilidade do sistema.

Para versões do Eclipse Che anteriores à 7.14.0, atualize para a versão 7.14.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/services” para minimizar o risco de exploração. Além disso, evite usar links não confiáveis para prevenir ataques Man-in-the-middle.