CVE-2026-22812

Nome do Software Vulnerável e Versões Afetadas OpenCode versões anteriores a 1.0.216

Descrição OpenCode, um agente de codificação de IA de código aberto, apresenta um problema em que inicia automaticamente um servidor HTTP sem autenticação. Isso permite que qualquer processo local ou qualquer site, devido às configurações CORS permissivas, execute comandos de shell arbitrários com os privilégios do usuário que executa o aplicativo. A vulnerabilidade permite a execução remota de código. O problema está relacionado à falta de autenticação para uma função crítica.

O endpoint vulnerável é /session/{id}/shell, onde id é um identificador de sessão. A exploração envolve enviar uma solicitação POST para este endpoint sem autenticação alguma, permitindo a execução direta de comandos.

Recomendações Atualize o OpenCode para a versão 1.0.216 ou posterior.