"value":"A flaw was found in Eclipse Che in versions prior to 7.14.0 that impacts CodeReady Workspaces. When configured with cookies authentication, Theia IDE doesn't properly set the SameSite value, allowing a Cross-Site Request Forgery (CSRF) and consequently allowing a cross-site WebSocket hijack on Theia IDE. This flaw allows an attacker to gain full access to the victim's workspace through the /services endpoint. To perform a successful attack, the attacker conducts a Man-in-the-middle attack (MITM) and tricks the victim into executing a request via an untrusted link, which performs the CSRF and the Socket hijack. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability."
},
{
"lang":"es",
"value":"Se encontr\u00f3 un fallo en Eclipse Che en versiones anteriores a 7.14.0, que impacta a CodeReady Workspaces. Cuando se configura con la autenticaci\u00f3n de cookies, Theia IDE no establece apropiadamente el valor de SameSite, permitiendo un ataque de tipo Cross-Site Request Forgery (CSRF) y, posteriormente, permitiendo un secuestro de WebSocket de sitio cruzado en Theia IDE. Este fallo permite a un atacante conseguir acceso completo al workspace de la v\u00edctima mediante el endpoint /services. Para llevar a cabo un ataque con \u00e9xito, el atacante conduce un ataque de tipo Man-in-the-middle (MITM) y enga\u00f1a a la v\u00edctima para ejecutar una petici\u00f3n por medio de un enlace no confiable, que lleva a cabo el ataque CSRF y el secuestro de Socket. La mayor amenaza de esta vulnerabilidad es la confidencialidad, la integridad as\u00ed como la disponibilidad del sistema"
