Kerentanan kritis baru di Eclipse, penyerang untuk mendapatkan akses penuh ke ruang kerja korban.
Eclipse adalah Eclipse Foundation open source online integrated development environment (IDE) berbasis Java. Dalam kerentanan pemalsuan permintaan lintas situs Eclipse, ada kerentanan. Di Eclipse Che, kesalahan ditemukan di versi sebelum 7.14.0 yang mempengaruhi CodeReady Workspaces.
IDE tidak dengan benar menyetel nilai SameSite ketika dikonfigurasi dengan otentikasi cookie, memungkinkan Cross-Site Request Forgery (CSRF) dan oleh karena itu memungkinkan pembajakan WebSocket lintas situs di Theia IDE. Cacat ini memungkinkan penyerang mendapatkan akses penuh melalui titik akhir ruang kerja korban. Penyerang melakukan serangan Man-in-the-middle (MITM) untuk melakukan serangan yang berhasil dan menipu korban melalui tautan yang tidak tepercaya, yang melakukan CSRF dan pembajakan Socket, untuk menjalankan permintaan. Kerahasiaan, integritas, serta ketersediaan sistem adalah ancaman tertinggi dari kerentanan ini.
Refrensi :
