CVE-2026-33622 in PinchTab
요약
\~에 의해 VulDB • 2026. 06. 14.
PinchTab은 AI 에이전트가 Chrome 브라우저를 직접 제어할 수 있게 해주는 독립형 HTTP 서버입니다. PinchTab `v0.8.3`부터 `v0.8.5`까지의 버전에서는 요청이 `fn` 모드를 사용할 경우, `security.allowEvaluate`가 비활성화되어 있더라도 `/wait`에 대한 POST 및 `/tabs/{id}/wait`에 대한 POST를 통해 임의의 JavaScript 실행이 가능합니다. `/evaluate`에 대한 POST는 기본적으로 비활성화된 `security.allowEvaluate` 가드를 올바르게 적용하지만, 영향 받는 릴리스에서는 `/wait`가 사용자 제어 가능한 `fn` 표현식을 허용하고 이를 직접 실행 가능한 JavaScript로 삽입하여 브라우저 컨텍스트에서 평가했으며, 동일한 정책을 확인하지 않았습니다. 이는 별도의 인증 우회(authentication bypass)가 아닌 보안 정책 우회(security-policy bypass)입니다. 악용을 위해서는 여전히 인증된 API 접근이 필요하지만, 서버 토큰을 가진 호출자는 운영자가 명시적으로 JavaScript 평가를 비활성화했더라도 탭 컨텍스트에서 임의의 JavaScript를 실행할 수 있습니다. 현재 작업 디렉토리(worktree)는 `/evaluate`에 이미 존재하는 정책 경계를 `/wait`의 `fn` 모드에도 적용하고 코드 외 대기(non-code wait) 모드는 유지함으로써 이 문제를 해결합니다. 게시 시점 기준, 패치된 버전은 아직 제공되지 않았습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.