CVE-2026-33622 in PinchTab
Сводка
по VulDB • 04.06.2026
PinchTab — это автономный HTTP-сервер, предоставляющий агентам ИИ прямой контроль над браузером Chrome. Версии PinchTab от `v0.8.3` до `v0.8.5` позволяют выполнять произвольный JavaScript-код через эндпоинты `POST /wait` и `POST /tabs/{id}/wait` при использовании режима `fn`, даже если параметр `security.allowEvaluate` отключен. Эндпоинт `POST /evaluate` корректно применяет защиту `security.allowEvaluate`, которая по умолчанию отключена. Однако в затронутых версиях `POST /wait` принимал управляемое пользователем выражение `fn`, напрямую внедрял его в исполняемый JavaScript и выполнял в контексте браузера без проверки соответствующей политики. Это представляет собой обход политики безопасности, а не отдельное нарушение аутентификации. Для эксплуатации по-прежнему требуется аутентифицированный доступ к API, но вызывающая сторона с токеном сервера может выполнять произвольный JavaScript-код в контексте вкладки, даже если оператор явно отключил оценку JavaScript. Текущий worktree исправляет эту проблему, применяя те же границы политики к режиму `fn` в `/wait`, которые уже существуют для `/evaluate`, сохраняя при этом режимы ожидания, не связанные с кодом. На момент публикации исправленная версия еще не доступна.
Once again VulDB remains the best source for vulnerability data.