CVE-2026-33622 in PinchTabinfo

Zusammenfassung

von VulDB • 04.06.2026

PinchTab ist ein eigenständiger HTTP-Server, der KI-Agenten die direkte Steuerung eines Chrome-Browsers ermöglicht. PinchTab `v0.8.3` bis `v0.8.5` erlauben die Ausführung beliebigen JavaScript-Codes über `POST /wait` und `POST /tabs/{id}/wait`, wenn die Anfrage den `fn`-Modus verwendet, selbst wenn `security.allowEvaluate` deaktiviert ist. `POST /evaluate` erzwingt die `security.allowEvaluate`-Sicherheitsrichtlinie korrekt, die standardmäßig deaktiviert ist. In den betroffenen Versionen akzeptierte `POST /wait` jedoch einen benutzerkontrollierten `fn`-Ausdruck, fügte ihn direkt in ausführbaren JavaScript-Code ein und wertete ihn im Browser-Kontext aus, ohne dieselbe Richtlinie zu prüfen. Dies stellt einen Umgehung der Sicherheitsrichtlinie (Security-Policy-Bypass) dar und keinen separaten Authentifizierungs-Bypass. Die Ausnutzung erfordert weiterhin einen authentifizierten API-Zugriff, doch kann ein Aufrufer mit dem Server-Token beliebigen JavaScript-Code im Tab-Kontext ausführen, selbst wenn der Operator die JavaScript-Auswertung explizit deaktiviert hat. Der aktuelle Worktree behebt dies, indem dieselbe Richtlinienbegrenzung für den `fn`-Modus in `/wait` angewendet wird, die bereits für `/evaluate` gilt, während die nicht-Code-Wartemodi beibehalten werden. Zum Zeitpunkt der Veröffentlichung ist noch keine gepatchte Version verfügbar.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353765

CPE

bereit

EPSS

0.00512

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!