CVE-2026-33623 in PinchTab정보

요약

\~에 의해 VulDB • 2026. 06. 19.

PinchTab은 AI 에이전트가 Chrome 브라우저를 직접 제어할 수 있게 해주는 독립형 HTTP 서버입니다. PinchTab `v0.8.4`에는 고아화된(orphanned) Chrome 정리 경로에서 Windows 전용 명령어 삽입 취약점이 존재합니다. 인스턴스가 중지되면 Windows 정리 루틴이 프로필 경로에서 파생된 `needle`을 사용하여 PowerShell `-Command` 문자열을 생성합니다. `v0.8.4`에서는 해당 문자열 보간 과정에서 역슬래시(backslash)는 이스케이프 처리되지만 다른 PowerShell 메타문자들은 안전하게 중화되지 않습니다. 공격자가 조작된 프로필 이름을 사용하여 인스턴스를 시작한 후 정리 경로를 트리거할 경우, PinchTab 프로세스 사용자의 보안 컨텍스트에서 Windows 호스트 임의의 PowerShell 명령어를 실행할 수 있습니다. 이는 인증 없이 인터넷을 통해 접근 가능한 원격 코드 실행(RCE)이 아닙니다. 이 취약점을 이용하려면 인스턴스 라이프사이클 엔드포인트에 대한 인증된 관리자 수준의 API 액세스 권한이 필요하며, 결과적으로 생성되는 명령어 실행은 호스트의 privilege 경계를 우회하지 않고 PinchTab OS 사용자의 권한을 상속받습니다. 버전 0.8.5에는 해당 문제에 대한 패치가 포함되어 있습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353728

EPSS

0.02904

출처

Want to know what is going to be exploited?

We predict KEV entries!