【高危漏洞预警】OpenCode AI编码代理未认证HTTP服务器漏洞(CVE-2026-22812) 漏洞描述: OреnCоdе是一款开源的AI编码代理工具,它可以帮助开发者自动完成代码编写任务。在1.0.216版本之前,OреnCоdе会默认启动一个未经身份验证的HTTP服务器,允许任何本地进程(或者通过宽松的CORS策略的任何网站)以用户的权限执行任意ѕhеll命令 影响产品: <1.0.216 攻击场景: 攻击者可通过向受影响的OpenCode服务器发送恶意HTTP请求,利用其默认开启的未认证HTTP服务绕过身份验证机制以当前用户权限执行任意shell命令,攻击可由本地进程触发或通过配置宽松CORS策略的恶意网站远程利用 检测方法: 检查OpenCode服务器的网络配置确认是否启用了身份验证机制,以及CORS策略是否过于宽松 修复建议: 补丁名称: OреnCоdе未认证HTTP服务器漏洞的补丁-更新至最新版本1.1.19 文件链接: https://github.com/anomalyco/opencode/releases/tag/v1.1.19 升级到1.0.216或更高版本的OреnCodе以修复该漏洞 缓解方案: 限制对OреnCоdе HTTP服务器的网络访问,确保只有授权的用户和进程可以访问 建议措施: 立即升级:将OpenCode版本升级至 1.0.216 或更高版本,以修复该漏洞 禁用默认HTTP服务:若无需远程访问功能,应关闭OpenCode内置HTTP服务器避免暴露攻击面 严格配置CORS策略:如需启用HTTP服务,应限制仅允许可信域名访问,禁止Access-Control-Allow-Origin:* 网络层隔离:通过防火墙或安全组策略,限制对OpenCode HTTP服务的访问,仅允许特定IP或内部网络访问 启用身份验证机制:在启用HTTP服务时,强制要求用户认证,避免无凭据访问 定期审计配置文件:检查OpenCode相关配置,防止因误配置导致服务暴露 |
