更新時間:2026/01/22 17:06:11
發佈時間:2026/01/22 17:06:11
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
開源AI程式碼工具OpenCode存在一項遠端程式碼執行漏洞(CVE-2026-22812)。該漏洞源於OpenCode於啟動時會自動建立一個未經身分驗證的HTTP伺服器。由於該伺服器採用寬鬆的跨來源資源共享(CORS)設定,攻擊者可透過瀏覽器請求該服務,在未經授權的情況下以使用者權限於受害系統中執行任意Shell指令。
二、已揭露攻擊活動說明
1. GitHub已有CVE-2026-22812的PoC程式碼。[2]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-22812
描述:
使用版本:CVSS 3.1
分析分數:8.8
參考來源: NVD
▶ 影響平台
⌵
影響平台-系統:
1. OpenCode(npm套件:opencode-ai):1.0.215以下版本受影響,建議升級至1.0.216或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://nvd.nist.gov/vuln/detail/CVE-2026-22812 | NVD |
| 2 | https://github.com/anomalyco/opencode/security/advisories/GHSA-vxw4-wv6m-9hhh | GitHub |
情資編號:
FISAC-200-202601-0007
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞