CVE-2026-33623 in PinchTabinformação

Sumário

de VulDB • 03/06/2026

PinchTab é um servidor HTTP independente que concede controle direto sobre o navegador Chrome aos agentes de IA. O PinchTab `v0.8.4` contém uma vulnerabilidade de injeção de comandos exclusiva do Windows no caminho de limpeza órfão do Chrome. Quando uma instância é interrompida, a rotina de limpeza do Windows constrói uma string `-Command` do PowerShell usando um valor `needle` derivado do caminho do perfil. Na versão `v0.8.4`, essa interpolação de strings escapa as barras invertidas, mas não neutraliza com segurança outros metacaracteres do PowerShell. Se um atacante puder iniciar uma instância usando um nome de perfil manipulado e acionar o caminho de limpeza, poderá conseguir executar comandos arbitrários do PowerShell no host Windows no contexto de segurança do usuário que executa o processo PinchTab. Esta não é uma vulnerabilidade RCE (Execução Remota de Código) autenticada pela internet. É necessário acesso à API autenticado e com privilégios equivalentes aos administrativos para os endpoints de ciclo de vida das instâncias, e a execução resultante dos comandos herda as permissões do usuário do SO PinchTab em vez de contornar os limites de privilégio da máquina host. A versão 0.8.5 contém um patch para o problema.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353728

CPE

pronto

EPSS

0.02904

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!