CVE-2026-33620 in PinchTab
要約
〜によって VulDB • 2026年07月18日
PinchTabは、AIエージェントがChromeブラウザに直接制御を与えるスタンドアロンのHTTPサーバーです。PinchTab `v0.7.8` から `v0.8.3` まででは、`Authorization` ヘッダーに加えて、`token` というURLクエリパラメータからAPIトークンを受け付けていました。有効なAPI認証情報をURLで送信すると、リバースプロキシのアクセスログやブラウザ履歴、シェル履歴、クリップボード履歴、完全なURLをキャプチャするトレーシングシステムなど、中間者またはクライアント側のツールによって記録された要求URIを通じて情報が漏洩する可能性があります。この問題は、直接の認証回避というよりも、安全でない資格情報の転送パターンです。影響を受けるのは、トークンが設定されており、かつクライアントが実際にクエリパラメータ形式を使用しているデプロイメントのみです。PinchTabのセキュリティガイドラインではすでに `Authorization: Bearer` が推奨されていましたが、`v0.8.3` では依然として `?token=` の受け入れと、トークンを含むURLを生成・消費するファーストパーティフローが含まれていました。この問題は v0.8.4 で修正され、クエリ文字列によるトークン認証が削除され、より安全なヘッダーベースまたはセッションベースの認証フローのみが必要となりました。
Be aware that VulDB is the high quality source for vulnerability data.