anonhaven

CVE-2026-33620

MEDIUM CVSS 3.1: 4,3 EPSS 0.07%
Обновлено 31 марта 2026
Pinchtab
Параметр Значение
CVSS 4,3 (MEDIUM)
Уязвимые версии 0.7.8 — 0.8.4
Устранено в версии 0.8.4
Тип уязвимости CWE-598
Поставщик Pinchtab
Публичный эксплойт Нет

PinchTab — это автономный HTTP-сервер, который дает агентам ИИ прямой контроль над браузером Chrome. PinchTab версий 0.7.8–0.8.3 принимал токен API из параметра запроса URL-адреса токена в дополнение к заголовку «Авторизация». Когда действительные учетные данные API отправляются в URL-адресе, они могут быть предоставлены через URI запроса, записанные посредниками или инструментами на стороне клиента, такими как журналы доступа к обратному прокси-серверу, история браузера, история оболочки, история буфера обмена и системы отслеживания, которые фиксируют полные URL-адреса. Эта проблема связана с небезопасным шаблоном транспортировки учетных данных, а не с прямым обходом аутентификации.

Это влияет только на развертывания, в которых настроен токен и клиент фактически использует форму параметра запроса. Руководство по безопасности PinchTab уже рекомендовало `Authorization: Bearer <token>`, но `v0.8.3` по-прежнему принимал `?token=` и включал сторонние потоки, которые генерировали и использовали URL-адреса, содержащие токен. В версии 0.8.4 эта проблема была решена путем удаления аутентификации по токену строки запроса и требования к более безопасным потокам аутентификации на основе заголовков или сеансов.

Показать оригинальное описание (EN)

PinchTab is a standalone HTTP server that gives AI agents direct control over a Chrome browser. PinchTab `v0.7.8` through `v0.8.3` accepted the API token from a `token` URL query parameter in addition to the `Authorization` header. When a valid API credential is sent in the URL, it can be exposed through request URIs recorded by intermediaries or client-side tooling, such as reverse proxy access logs, browser history, shell history, clipboard history, and tracing systems that capture full URLs. This issue is an unsafe credential transport pattern rather than a direct authentication bypass. It only affects deployments where a token is configured and a client actually uses the query-parameter form. PinchTab's security guidance already recommended `Authorization: Bearer <token>`, but `v0.8.3` still accepted `?token=` and included first-party flows that generated and consumed URLs containing the token. This was addressed in v0.8.4 by removing query-string token authentication and requiring safer header- or session-based authentication flows.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-598

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Pinchtab Pinchtab
cpe:2.3:a:pinchtab:pinchtab:*:*:*:*:*:*:*:*
 0.7.8 0.8.4

Ссылки 2

https://github.com/pinchtab/pinchtab/releases/tag/v0.8.4
security-advisories@github.com
https://github.com/pinchtab/pinchtab/security/advisories/GHSA-mrqc-3276-74f8
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33623

Pinchtab

7,2

CVE-2026-33622

Pinchtab

6,1

CVE-2026-33081

Pinchtab

3,7