关键漏洞信息 Bug ID: 1823892 CVE ID: CVE-2020-14368 Summary: Eclipse Che: Cross-site WebSocket Hijack of Service Endpoint Component: Vulnerability Status: Closed ERRATA Version: Unspecified Environment: Linux Priority: Medium Severity: Medium Fixed In Version: che-theia 7.14.0 漏洞描述 Eclipse Che 中存在一个问题,影响 CodeReady Workspaces。当配置为 Cookies 身份验证时,Theia IDE 未正确设置 SameSite 值以允许 CSRF,从而允许跨站点 WebSocket 攻击 Theia IDE。攻击者可以利用此弱点通过 /services 端点获得对受害者工作区的完全访问权限。要成功执行攻击,攻击者需要进行中间人攻击,并诱骗受害者通过不受信任的链接执行请求,该链接执行 CSRF 和套接字劫持操作。 修复信息 修复提交: https://github.com/eclipse/che-theia/commit/f9409ac45f977bfb745520f5826c18d41024ebcd 修复版本: CRW 2.2 (对应 che 7.14) 修复时间: 2020年8月