प्लेटफ़ॉर्म
nodejs
घटक
opencode-ai
में ठीक किया गया
1.1.11
1.1.10
CVE-2026-22813 OpenCode AI में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण वेबसाइटों के माध्यम से वेब UI में सर्वर URL ओवरराइड सुविधा का दुरुपयोग करने की अनुमति देती है, जिससे वे http://localhost:4096 पर XSS प्राप्त कर सकते हैं। इसके बाद, वे OpenCode API द्वारा प्रदान किए गए /pty/ एंडपॉइंट्स का उपयोग करके स्थानीय सिस्टम पर मनमाना कमांड चला सकते हैं। 1.1.10 संस्करण में इस भेद्यता को ठीक किया गया है।
यह भेद्यता हमलावरों के लिए स्थानीय सिस्टम पर पूर्ण नियंत्रण प्राप्त करने का मार्ग खोलती है। हमलावर XSS का उपयोग करके उपयोगकर्ता को दुर्भावनापूर्ण स्क्रिप्ट चलाने के लिए प्रेरित कर सकते हैं, जो तब /pty/ एंडपॉइंट्स के माध्यम से सिस्टम कमांड निष्पादित कर सकता है। यह डेटा चोरी, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को केवल एक दुर्भावनापूर्ण वेबसाइट तक पहुंच की आवश्यकता होती है जिसे पीड़ित उपयोगकर्ता द्वारा देखा जाता है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक प्रारंभिक भेद्यता का उपयोग सिस्टम पर उच्च विशेषाधिकार प्राप्त करने के लिए किया जाता है।
CVE-2026-22813 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और शोषण की सापेक्ष सरलता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह KEV (Key Event Vulnerability) में शामिल नहीं है, लेकिन EPSS (Exploit Prediction Scoring System) स्कोर इसकी उच्च संभावना को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हैं, जो शोषण की संभावना को और बढ़ाता है।
Organizations utilizing OpenCode AI for local development or testing environments are particularly at risk, especially if the web UI is exposed to the internet or untrusted networks. Shared hosting environments where multiple users have access to the OpenCode instance are also vulnerable.
• nodejs / server: Monitor process execution for unexpected commands originating from the OpenCode AI process. Use ps aux | grep opencode to identify running instances and their associated commands.
• generic web: Examine access logs for requests containing suspicious URL parameters attempting to override the server URL. Look for patterns like http://malicious.com?url=....
• generic web: Check response headers for signs of XSS payloads or unexpected behavior after submitting input to the server URL override feature. Use curl -I http://localhost:4096 to inspect headers.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVE-2026-22813 को कम करने के लिए, OpenCode AI को तुरंत संस्करण 1.1.10 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो वेब UI में सर्वर URL ओवरराइड सुविधा को अक्षम करने पर विचार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, /pty/ एंडपॉइंट्स तक पहुंच को केवल विश्वसनीय स्रोतों तक सीमित करें। जांच करें कि क्या कोई अनधिकृत प्रक्रियाएं चल रही हैं और असामान्य नेटवर्क गतिविधि की निगरानी करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, /pty/ एंडपॉइंट्स के माध्यम से कमांड निष्पादित करने का प्रयास करके सत्यापित करें।
OpenCode को संस्करण 1.1.10 या उच्चतर में अपडेट करें। यह संस्करण HTML सैनिटाइजेशन और/या अवांछित JavaScript निष्पादन को रोकने के लिए सामग्री सुरक्षा नीति (CSP) को लागू करके XSS भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22813 OpenCode AI के वेब UI में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को स्थानीय सिस्टम पर मनमाना कमांड चलाने की अनुमति देती है।
यदि आप OpenCode AI के संस्करण 1.1.10 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
OpenCode AI को संस्करण 1.1.10 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो वेब UI में सर्वर URL ओवरराइड सुविधा को अक्षम करें।
CVE-2026-22813 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है।
OpenCode AI के आधिकारिक सलाहकार के लिए OpenCode AI वेबसाइट या GitHub रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।