Cybershadow

**Nome do Software Vulnerável e Versões Afetadas** OpenCode versões anteriores a 1.0.216 **Descrição** OpenCode, um agente de codificação de IA de código aberto, apresenta um problema em que inicia automaticamente um servidor HTTP sem autenticação. Isso permite que qualquer processo local ou qualquer site, devido às configurações CORS permissivas, execute comandos de shell arbitrários com os privilégios do usuário que executa o aplicativo. A vulnerabilidade permite a execução remota de código. O problema está relacionado à falta de autenticação para uma função crítica. O endpoint vulnerável é `/session/{id}/shell`, onde `id` é um identificador de sessão. A exploração envolve enviar uma solicitação POST para este endpoint sem autenticação alguma, permitindo a execução direta de comandos. **Recomendações** Atualize o OpenCode para a versão 1.0.216 ou posterior.