CVE-2026-33621 in PinchTab정보

요약

\~에 의해 VulDB • 2026. 05. 26.

PinchTab은 AI 에이전트가 Chrome 브라우저를 직접 제어할 수 있게 해주는 독립형 HTTP 서버입니다. PinchTab `v0.7.7`부터 `v0.8.4`까지에는 인증 확인이 가능한 엔드포인트에 대한 불완전한 요청 제한(throttling) 보호 기능이 포함되어 있습니다. `v0.7.7`부터 `v0.8.3`까지의 버전에서는 `internal/handlers/middleware.go`에 완전히 구현된 `RateLimitMiddleware`가 존재했지만, 프로덕션 HTTP 핸들러 체인에 삽입되지 않았기 때문에 요청이 의도된 IP별 제한(throttle)의 적용을 받지 않았습니다. 동일한 `v0.8.4` 이전 버전 범위에서 원래의 제한기(limiter)는 `X-Forwarded-For` 헤더를 사용하여 클라이언트를 식별했는데, 이는 미들웨어가 활성화되어 있었다면 클라이언트가 제어할 수 있는 헤더 스푸핑(header spoofing)을 허용했을 수 있습니다. `v0.8.4`에서는 제한기를 라이브 핸들러 체인에 연결하고 키를 즉시 연결된 피어(peer) IP로 전환하여 이 두 가지 문제를 해결했지만, `/health` 및 `/metrics` 엔드포인트는 여전히 속도 제한에서 제외되었습니다. 이는 토큰이 구성된 경우 `/health`가 여전히 인증 확인이 가능한 엔드포인트였기 때문입니다. 이 문제는 공격자가 API에 접근할 수 있는 배포 환경, 특히 약한 사람이 선택한 토큰이 사용되는 경우, 방어 심층(defense in depth)을 약화시킵니다. 이 자체로는 직접적인 인증 우회(authentication bypass)나 토큰 유출(token disclosure) 문제가 아닙니다. PinchTab은 기본적으로 로컬 우선(local-first)으로 문서화되어 있으며, 권장 설정에서는 `127.0.0.1`과 생성된 무작위 토큰을 사용합니다. PinchTab의 기본 배포 모델은 사용자와 에이전트 간의 로컬 우선, 사용자 제어 환경이며, 더 넓은 노출은 의도적인 운영자(operator)의 선택입니다. 이는 버그의 고유한 기본 특성을 변경하지는 않지만, 기본 구성에서의 실제 위험을 낮춥니다. 이 문제는 `v0.8.5`에서 프로덕션 핸들러 체인에 `RateLimitMiddleware`를 적용하고, 기본값으로 전달된 헤더를 신뢰하는 대신 즉시 연결된 피어 IP에서 클라이언트 주소를 유도하며, `/health` 및 `/metrics` 예외를 제거하여 인증 확인이 가능한 엔드포인트도 속도 제한되도록 함으로써 완전히 해결되었습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353733

EPSS

0.00308

출처

Do you know our Splunk app?

Download it now for free!