CVE-2026-33623 in PinchTabinformación

Resumen

por VulDB • 2026-05-19

PinchTab es un servidor HTTP independiente que proporciona a los agentes de IA control directo sobre un navegador Chrome. PinchTab `v0.8.4` contiene un problema de inyección de comandos exclusivo de Windows en la ruta de limpieza huérfana de Chrome. Cuando se detiene una instancia, la rutina de limpieza de Windows construye una cadena `-Command` de PowerShell utilizando una `needle` derivada de la ruta del perfil. En `v0.8.4`, la interpolación de esa cadena escapa las barras invertidas, pero no neutraliza de forma segura otros metacaracteres de PowerShell. Si un atacante puede iniciar una instancia utilizando un nombre de perfil manipulado y luego activar la ruta de limpieza, podría ser capaz de ejecutar comandos de PowerShell arbitrarios en el host Windows en el contexto de seguridad del usuario del proceso PinchTab. Esto no es una ejecución remota de código (RCE) no autenticada desde Internet. Requiere acceso API autenticado y equivalente a administrador a los puntos de conexión del ciclo de vida de las instancias, y la ejecución de comandos resultante hereda los permisos del usuario del sistema operativo de PinchTab en lugar de eludir los límites de privilegios del host. La versión 0.8.5 contiene un parche para el problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353728

CPE

listo

EPSS

0.02904

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!