CVE-2026-33622 in PinchTabinformación

Resumen

por VulDB • 2026-05-13

PinchTab es un servidor HTTP independiente que otorga a los agentes de IA un control directo sobre un navegador Chrome. Las versiones de PinchTab `v0.8.3` a `v0.8.5` permiten la ejecución arbitraria de JavaScript a través de `POST /wait` y `POST /tabs/{id}/wait` cuando la solicitud utiliza el modo `fn`, incluso si `security.allowEvaluate` está deshabilitado. `POST /evaluate` aplica correctamente la protección `security.allowEvaluate`, la cual está deshabilitada de forma predeterminada. Sin embargo, en las versiones afectadas, `POST /wait` aceptaba una expresión `fn` controlada por el usuario, la incrustaba directamente en JavaScript ejecutable y la evaluaba en el contexto del navegador sin verificar la misma política. Esto constituye un elusión de la política de seguridad en lugar de una elusión de autenticación independiente. La explotación aún requiere acceso autenticado a la API, pero un llamador con el token del servidor puede ejecutar JavaScript arbitrario en el contexto de una pestaña incluso cuando el operador haya deshabilitado explícitamente la evaluación de JavaScript. El árbol de trabajo actual corrige esto aplicando la misma frontera de política al modo `fn` en `/wait` que ya existe en `/evaluate`, mientras se preservan los modos de espera que no implican código. A la fecha de publicación, aún no está disponible una versión parcheada.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353765

CPE

listo

EPSS

0.00512

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!