漏洞描述 OpenCode 是一个基于会话的代码执行平台,允许用户通过创建会话来运行命令和构建任务。该漏洞存在于 /session 端点,攻击者可以创建会话并发送恶意命令到 /session/{id}/shell 端点,从而执行任意系统命令,导致远程代码执行。
相关漏洞推荐 Cal.com /api/auth/session 权限绕过漏洞(CVE-2026-23478) OpenCode AI远程命令执行漏洞(CVE-2026-22812) POC 深信服运维安全管理系统 protocol/session 命令执行漏洞 用友NC /session.jsp 路径存在敏感信息泄露 海康威视综合安防管理平台 /center/api/session 反序列化漏洞