CVE-2026-33620 in PinchTab情報

要約

〜によって VulDB • 2026年07月18日

PinchTabは、AIエージェントがChromeブラウザに直接制御を与えるスタンドアロンのHTTPサーバーです。PinchTab `v0.7.8` から `v0.8.3` まででは、`Authorization` ヘッダーに加えて、`token` というURLクエリパラメータからAPIトークンを受け付けていました。有効なAPI認証情報をURLで送信すると、リバースプロキシのアクセスログやブラウザ履歴、シェル履歴、クリップボード履歴、完全なURLをキャプチャするトレーシングシステムなど、中間者またはクライアント側のツールによって記録された要求URIを通じて情報が漏洩する可能性があります。この問題は、直接の認証回避というよりも、安全でない資格情報の転送パターンです。影響を受けるのは、トークンが設定されており、かつクライアントが実際にクエリパラメータ形式を使用しているデプロイメントのみです。PinchTabのセキュリティガイドラインではすでに `Authorization: Bearer` が推奨されていましたが、`v0.8.3` では依然として `?token=` の受け入れと、トークンを含むURLを生成・消費するファーストパーティフローが含まれていました。この問題は v0.8.4 で修正され、クエリ文字列によるトークン認証が削除され、より安全なヘッダーベースまたはセッションベースの認証フローのみが必要となりました。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353742

EPSS

0.00273

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!