文章总结： 文档披露OpenCode小于1.0.216版本存在命令执行漏洞CVE-2026-22812。漏洞源于启动时默认开启的未认证HTTP服务器及宽松CORS策略，攻击者可利用恶意脚本或跨域请求执行任意系统命令。建议受影响用户尽快升级修复以防范安全风险。 综合评分： 75 文章分类： 漏洞分析,漏洞预警

【已复现】OpenCode 命令执行漏洞(CVE-2026-22812)

原创

whoami0002

SecurityPaper

2026年1月14日 17:47 江苏

⚠️ 免责声明：本公众号所涉任何技术、工具及信息均严禁用于非法用途。任何个人或组织因违规使用而产生的一切法律后果及连带责任均由其自行承担，本公众号及作者概不负责，并保留追究其法律责任的权利。

漏洞描述

该漏洞源于 OpenCode 启动时自动创建的未经身份验证 HTTP 服务器（默认端口 4096+）暴露了包括执行 Shell 命令、创建终端会话及文件读取在内的关键功能接口，且采用了宽松的 CORS 策略。这使得攻击者既可通过恶意 npm 包或脚本发起本地请求，也能利用恶意网站通过浏览器跨域请求本地服务器。该漏洞允许攻击者以运行 OpenCode 的用户权限执行任意系统命令。

漏洞影响

OpenCode < 1.0.216

漏洞复现

想深入学习安全技术？

欢迎加入我们的安全技术知识星球！

在这里，你可以：

• 🔥 第一时间获取最新的安全漏洞和攻击技术分析
• 📚 系统学习从基础到高级的安全攻防知识
• 💡 实战案例分享真实的渗透测试和漏洞挖掘经验
• 🤝 技术交流与安全大牛和同行深度讨论
• 🎯 工具分享获取各种安全工具的详细使用教程
• 📖 独家资料包括漏洞报告、技术文档、学习路线图

限时优惠：前 100 名加入的伙伴，享受特别价格！

安全技术日新月异，只有持续学习才能跟上节奏。加入我们，一起在安全路上成长！🚀

#

【已复现】jsPDF 本地文件包含/路径遍历 (CVE-2025-68428)

【已复现】MongoDB 未授权内存泄露漏洞（CVE-2025-14847）

【已复现】CVE-2025-68613 n8n 表达式注入导致远程代码执行（RCE CVSS 10.0）

已复现 帆软export/excel SQL注入漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecurityPaper whoami0002《【已复现】OpenCode 命令执行漏洞(CVE-2026-22812)》