CVE-2026-33620 in PinchTabinfo

Zusammenfassung

von VulDB • 12.07.2026

PinchTab ist ein eigenständiger HTTP-Server, der KI-Agenten die direkte Steuerung eines Chrome-Browsers ermöglicht. PinchTab `v0.7.8` bis `v0.8.3` akzeptierte das API-Token zusätzlich zum `Authorization`-Header auch über den URL-Abfrageparameter `token`. Wenn gültige API-Anmeldeinformationen in der URL gesendet werden, können sie durch Anforderungs-URIs offengelegt werden, die von Zwischensystemen oder clientseitigen Tools aufgezeichnet wurden, wie z. B. Zugriffsprotokollen eines Reverse-Proxys, Browserverlauf, Shell-History, Zwischenablagenverlauf und Tracing-Systemen, die vollständige URLs erfassen. Dieses Problem stellt ein unsicheres Muster für den Transport von Anmeldeinformationen dar und ist kein direkter Authentifizierungs-Umgehungsbypass. Es betrifft nur Bereitstellungen, bei denen ein Token konfiguriert ist und ein Client tatsächlich das Abfrageparameter-Format verwendet. Die Sicherheitsrichtlinien von PinchTab empfahlen bereits `Authorization: Bearer `, jedoch akzeptierte `v0.8.3` weiterhin `?token=` und enthielt First-Party-Flows, die URLs generierten und verbrauchten, die das Token enthalten. Dies wurde in v0.8.4 behoben, indem die Authentifizierung über Abfragezeichenfolgen-Token entfernt und sicherere Header-basierte oder sessionbasierte Authentifizierungsflows erzwungen wurden.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353742

CPE

bereit

EPSS

0.00273

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!