CVE-2026-33622 in PinchTab情報

要約

〜によって VulDB • 2026年06月04日

PinchTabは、AIエージェントがChromeブラウザに直接制御を与えるスタンドアロンのHTTPサーバーです。PinchTabの`v0.8.3`から`v0.8.5`では、`security.allowEvaluate`が無効化されている場合でも、リクエストが`fn`モードを使用する際に`POST /wait`および`POST /tabs/{id}/wait`を通じて任意のJavaScriptの実行を許可します。`POST /evaluate`はデフォルトで無効になっている`security.allowEvaluate`ガードを正しく適用しますが、影響を受けるリリースでは、`POST /wait`がユーザー制御可能な`fn`式を受け入れ、それを直接実行可能なJavaScriptに埋め込み、同じポリシーをチェックせずにブラウザコンテキストで評価していました。これは、別の認証回避ではなく、セキュリティポリシーの回避です。攻撃には依然として認証されたAPIアクセスが必要ですが、サーバートークンを持つ呼び出し元は、オペレーターがJavaScriptの評価を明示的に無効にしても、タブコンテキスト内で任意のJavaScriptを実行できます。現在のworktreeは、`/evaluate`に既に存在するのと同じポリシー境界を`/wait`の`fn`モードに適用し、非コードの待機モードを維持することでこの問題を修正しています。公開時点では、パッチ済みバージョンはまだ利用できません。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353765

EPSS

0.00512

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!