第二环：服务器URL覆盖滥用（攻击放大器） 功能机制：OpenCode网页UI支持通过URL参数动态指定后端服务器地址： ​

攻击利用：
攻击者构造恶意链接，诱骗用户点击： ​

点击后的攻击流程： 1 用户浏览器访问本地OpenCode页面（localhost:4096） 2 网页UI读取?url=参数，连接至攻击者控制的服务器 3从攻击者服务器加载预先准备好的恶意会话内容 4恶意内容触发第一环的XSS漏洞 关键突破：此环节将需要复杂前置条件的XSS攻击转化为一键触发的远程攻击，攻击成功率从"可能"提升至"必然"。 第三环：本地API滥用（最终杀伤） 高危API端点：http://localhost:4096/pty/ API功能：该端点允许在本地系统上生成任意进程，为开发功能提供终端访问。 同源策略绕过：
由于恶意JavaScript代码在localhost:4096源下执行，它可以无限制地访问同源的所有API：

最终实现：攻击者可以： 1下载并执行远程恶意脚本 2安装后门程序 3窃取敏感文件 4横向移动至内网其他系统 漏洞复现

提供恶意聊天会话的一个简单方法是在真实的OpenCode实例前设置mitmproxy。这是必要的，因为OpenCode的网页界面必须加载大量资源，才能加载并显示聊天会话。 1.安装有漏洞的版本

2.创建恶意会话文件 evil_session.json：

这个载荷会尝试在受害者机器上创建文件 /tmp/pwned_success 作为攻击成功的证明。 启动简易HTTP服务器

3.进行攻击 1用插件在反向代理模式下启动 mitmproxy

2 启动服务：

3 构造恶意URL： 在同一台运行OpenCode的机器上，访问以下URL：

原理：?url= 参数滥用让本地UI加载远程恶意会话。 4 确认文件是在目录中创建/tmp/

漏洞修复

移除内嵌JavaScript

添加了 DOMPurify 依赖

在图像预览组件中添加了安全处理 防止了XSS攻击 移除移除动态JavaScript执行和自定义URL参数

改了306行代码，近乎重写了该文件 移除自定义URL参数

通过props控制，不再从window对象读取 结论 CVE-2026-22813是一个典型的"功能滥用→权限提升→系统控制"三重攻击链案例。它暴露出： 1 深度防御的缺失：缺乏输入验证、输出编码、权限控制的多层防护 2 信任模型的缺陷：过度信任客户端输入和本地网络环境 3 安全开发生命周期的不足：危险功能上线前缺乏威胁建模