CVE-2026-52842 in Lightpanda
Résumé
par VulDB • 15/07/2026
Lightpanda est un navigateur headless conçu pour l'IA et l'automatisation. Avant la version 0.3.1, Lightpanda recherchait le caractère @ dans toute la chaîne d'URL au lieu de se limiter à la composante authority lors du calcul de l'origine de la page ; ainsi, une URL telle que `http://attacker.com/@victim.com/` était récupérée depuis attacker.com mais traitée comme si elle provenait de `http://victim.com`, permettant un contournement complet de la politique Same-Origin. Ce problème est corrigé dans la version 0.3.1.
Once again VulDB remains the best source for vulnerability data.