CVE-2026-22812

Опубликовано: 12 янв. 2026

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

OpenCode is an open source AI coding agent. Prior to 1.0.216, OpenCode automatically starts an unauthenticated HTTP server that allows any local process (or any website via permissive CORS) to execute arbitrary shell commands with the user's privileges. This vulnerability is fixed in 1.0.216.

Ссылки

https://github.com/anomalyco/opencode/security/advisories/GHSA-vxw4-wv6m-9hhh
Vendor Advisory
Exploit
https://github.com/anomalyco/opencode/security/advisories/GHSA-vxw4-wv6m-9hhh
Vendor Advisory
Exploit

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:anoma:opencode:*:*:*:*:*:-:*:*

Версия до 1.0.216 (исключая)

EPSS

Процентиль: 81%

0.01608

Низкий

8.8 High

CVSS3

Дефекты

CWE-306

Связанные уязвимости

GHSA-vxw4-wv6m-9hhh

CVSS3: 8.8

github

26 дней назад

OpenCode's Unauthenticated HTTP Server Allows Arbitrary Command Execution

BDU:2026-00783

CVSS3: 8.8

fstec

28 дней назад

Уязвимость агента для разработки программного обеспечения на основе искусственного интеллекта OpenCode, связанная с отсутствием аутентификации для критичной функции, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 81%

0.01608

Низкий

8.8 High

CVSS3

Дефекты

CWE-306