CVE-2026-33620 in PinchTab
الملخص
بحسب VulDB • 18/07/2026
PinchTab هو خادم HTTP مستقل يمنح وكلاء الذكاء الاصطناعي (AI agents) تحكماً مباشراً في متصفح Chrome. تقبل الإصدار `v0.7.8` حتى `v0.8.3` من PinchTab رمز واجهة برمجة التطبيقات (API token) من معلمة استعلام URL باسم `token` بالإضافة إلى رأس `Authorization`. عند إرسال بيانات اعتماد API صالحة عبر عنوان URL، يمكن أن تتعرض للخطر من خلال عناوين URLs المسجلة في الطلبات بواسطة الوسيطات أو أدوات جانب العميل، مثل سجلات وصول وكيل العكس (reverse proxy)، وسجل المتصفح، وسجل الأوامر الطرفية (shell history)، وسجل الحافظة (clipboard history)، وأنظمة التتبع التي تلتقط عناوين URL كاملة. تُعد هذه المشكلة نمطاً غير آمن لنقل بيانات الاعتماد بدلاً من كونها تجاوزاً مباشراً للمصادقة. تؤثر فقط على عمليات النشر حيث يتم تكوين رمز مميز، ويقوم العميل فعلياً باستخدام شكل معلمة استعلام URL. كانت الإرشادات الأمنية لـ PinchTab توصي مسبقاً بـ `Authorization: Bearer`، لكن الإصدار `v0.8.3` لا يزال يقبل استخدام `?token=` ويشمل تدفقات رسمية (first-party flows) تقوم بتوليد عناوين URLs تحتوي على الرمز الاستدلالي واستهلاكها. تم معالجة هذه المشكلة في الإصدار v0.8.4 من خلال إزالة مصادقة الرموز عبر سلسلة استعلام URL، ومتطلبات تدفقات المصادقة الأكثر أماناً القائمة على الرؤوس أو الجلسات (header- or session-based).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.