PT-2026-2316 · Opencode · Opencode
Albertspedersen
·
Publicado
2026-01-12
·
Atualizado
2026-03-05
·
CVE-2026-22813
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
OpenCode versões anteriores a 1.1.10
Descrição
O software é um agente de codificação de IA de código aberto. O renderizador de markdown utilizado para respostas de modelos de linguagem de grande porte insere HTML arbitrário no Document Object Model (DOM) sem sanitização. Não há uma Política de Segurança de Conteúdo (CSP) implementada na interface web para impedir a execução de JavaScript por meio de injeção de HTML. Isso permite que um atacante controle a resposta do modelo de linguagem de grande porte para uma sessão de chat e execute JavaScript na origem 'http://localhost:4096'.
Recomendações
Atualize para a versão 1.1.10 ou posterior.
Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opencode