2026-01-13 00:38:59

OpenCode 最近爆出了一个比较严重的安全问题。Cloudflare のセキュリティ研究者は、Webフロントエンドがサポートする特定のパラメータに悪用のリスクがあることを発見しました。

具体的には、攻撃者はこのパラメータを悪意のあるサーバーに向けて利用できます。その後、Markdown セッションを偽造し、悪意のあるスクリプトを埋め込み、ユーザーに関連リンクをクリックさせる誘導を行います。ユーザーが騙されると、攻撃者は端末APIを通じてユーザーのコンピュータ上で任意のコマンドを実行できるようになります。この攻撃手法はかなり巧妙で、開発者にとってリスクは大きいです。

良いニュースは、公式が迅速に修正策をリリースしたことです。主な対策は、この問題のあるパラメータを無効化し、コンテンツセキュリティポリシー（CSP）を強化して悪意のあるスクリプトの読み込みを防止することです。関連ツールを使用している場合は、最新バージョンに速やかにアップデートすることをお勧めします。この種のセキュリティパッチは遅らせてはいけません。

原文表示

このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております（表明・保証をするものではありません）。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。

10 いいね

報酬
10
6
リポスト
共有

0/400

SoliditySurvivor

· 01-13 20:11

くそ、またパラメータの脆弱性か？開発者の生活は本当に大変だな、毎日緊張しっぱなしだ。任意のコマンドを直接実行されるなんて誰も耐えられない。幸い公式の対応が迅速だったから、さっさとアップデートしよう。

原文表示返信0

OnChainSleuth

· 01-13 01:08

くそ、またパラメータの脆弱性か...今回は直接マシン上でコマンドを実行できるとは、なかなか酷いな早めにアップデートしてください、フィッシングスクリプトに引っかからないように公式の対応も比較的早かったし、少なくとも引き延ばしてはいなかった

原文表示返信0

NFTRegretDiary

· 01-13 01:08

またこのパラメータの脆弱性か...開発者たちはまた残業してパッチを当てる必要がある。早く更新して、ハッキングされないようにしよう

原文表示返信0

ChainProspector

· 01-13 01:06

又是参数漏洞...開発者の皆さん、注意してくださいね。この種の隠れた攻撃は本当に防ぎにくいです。 --- Markdown に悪意のあるスクリプトを埋め込む手法には本当に驚きました。あまりにも酷いので、皆さん早めにアップデートしましょう。 --- 公式の対応速度はなかなか良いですね。少なくとも遅延はなく、CSPの強化は標準的な対応です。 --- 端末APIで直接コマンドを実行？これがハッキングされたら、PC内の秘密鍵がなくなってしまいますよ... --- この脆弱性の複雑さを見ると、OpenCodeだけでなく他のプラットフォームも自ら点検すべきだと感じます。 --- この仕組みがどうやって発見されたのか知りたいです。Cloudflareのセキュリティチームは本当に優秀ですね。

原文表示返信0

VitaliksTwin

· 01-13 01:02

好家伙，又是参数漏洞...开发者真的难啊，防不胜防真就离谱，Markdown里都能埋恶意脚本？直接远程执行代码？这谁想到的 Cloudflare反应还算快，禁参数+强化CSP，套路还是那套路，赶紧更新吧各位

返信0

CountdownToBroke

· 01-13 00:56

天哪，又是参数漏洞，这年头没个安全意识真的活不下去啊 --- Markdown 里还能埋恶意脚本？这也太隐蔽了，我都没想到 --- 赶紧更新，不然哪天电脑就被远程执行了，想想都瘆人 --- Cloudflare 这回反应挺快的，至少官方没拖拉 --- 又要手动升级了，这类补丁确实不能等

返信0