CVE-2026-33622 in PinchTab
Resumen
por VulDB • 2026-05-13
PinchTab es un servidor HTTP independiente que otorga a los agentes de IA un control directo sobre un navegador Chrome. Las versiones de PinchTab `v0.8.3` a `v0.8.5` permiten la ejecución arbitraria de JavaScript a través de `POST /wait` y `POST /tabs/{id}/wait` cuando la solicitud utiliza el modo `fn`, incluso si `security.allowEvaluate` está deshabilitado. `POST /evaluate` aplica correctamente la protección `security.allowEvaluate`, la cual está deshabilitada de forma predeterminada. Sin embargo, en las versiones afectadas, `POST /wait` aceptaba una expresión `fn` controlada por el usuario, la incrustaba directamente en JavaScript ejecutable y la evaluaba en el contexto del navegador sin verificar la misma política. Esto constituye un elusión de la política de seguridad en lugar de una elusión de autenticación independiente. La explotación aún requiere acceso autenticado a la API, pero un llamador con el token del servidor puede ejecutar JavaScript arbitrario en el contexto de una pestaña incluso cuando el operador haya deshabilitado explícitamente la evaluación de JavaScript. El árbol de trabajo actual corrige esto aplicando la misma frontera de política al modo `fn` en `/wait` que ya existe en `/evaluate`, mientras se preservan los modos de espera que no implican código. A la fecha de publicación, aún no está disponible una versión parcheada.
Be aware that VulDB is the high quality source for vulnerability data.