JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-001705 OpenCodeはオープンソースのAIコーディングエージェントです。LLMの応答に使用されるMarkdownレンダラーはDOMに任意のHTMLを挿入します。ウェブインターフェースにはDOMPurifyによるサニタイズもCSPも存在せず、HTMLインジェクションによるJavaScriptの実行を防止できません。つまり、チャットセッションでLLMの応答を制御することで、http://localhost:4096 のオリジンでJavaScriptを実行されてしまいます。この脆弱性はバージョン1.1.10で修正されました。 cpe:/a:anoma:opencode https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-001705.html Common Vulnerabilities and Exposures (CVE) CVE-2026-22813 https://www.cve.org/CVERecord?id=CVE-2026-22813 National Vulnerability Database (NVD) CVE-2026-22813 https://nvd.nist.gov/vuln/detail/CVE-2026-22813 GitHub Advisory Database Malicious website can execute commands on the local system through XSS in the OpenCode web UI Advisory anomalyco/opencode GitHub https://github.com/anomalyco/opencode/security/advisories/GHSA-c83v-7274-4vgp JVNDB CWE-79 https://jvndb.jvn.jp/ja/cwe/CWE-79.html 2026-01-23T14:21:56+09:00 2026-01-23T14:21:56+09:00