CVE-2026-33622 in PinchTabinformation

Résumé

par VulDB • 31/05/2026

PinchTab est un serveur HTTP autonome qui permet aux agents IA de contrôler directement un navigateur Chrome. Les versions de PinchTab `v0.8.3` à `v0.8.5` permettent l'exécution arbitraire de code JavaScript via les points de terminaison `POST /wait` et `POST /tabs/{id}/wait` lorsque la requête utilise le mode `fn`, même si `security.allowEvaluate` est désactivé. L'endpoint `POST /evaluate` applique correctement la restriction `security.allowEvaluate`, qui est désactivée par défaut. Cependant, dans les versions concernées, `POST /wait` acceptait une expression `fn` contrôlée par l'utilisateur, l'intégrait directement dans du code JavaScript exécutable et l'évaluait dans le contexte du navigateur sans vérifier la même politique de sécurité. Il s'agit d'un contournement de politique de sécurité plutôt que d'une violation distincte de l'authentification. L'exploitation nécessite toujours un accès API authentifié, mais un appelant disposant du jeton du serveur peut exécuter du code JavaScript arbitraire dans le contexte d'un onglet, même lorsque l'opérateur a explicitement désactivé l'évaluation du code JavaScript. La branche de travail actuelle corrige ce problème en appliquant la même limite de politique au mode `fn` dans `/wait` qu'à celle déjà existante sur `/evaluate`, tout en préservant les modes d'attente non liés au code. Au moment de la publication, une version corrigée n'est pas encore disponible.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353765

CPE

prêt

EPSS

0.00512

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!