Apa yang terjadi
Bug parsing URL di komputasi origin Lightpanda memungkinkan penyerang membuat URL yang menyamar sebagai origin terpercaya untuk keperluan same-origin policy.
Mengapa penting
Lightpanda dirancang secara eksplisit sebagai alat browsing untuk AI agents; bug origin-confusion memungkinkan halaman berbahaya menipu agen browser-use AI untuk memperlakukan konten penyerang sebagai terpercaya, merusak kontrol keamanan berbasis origin apapun yang diandalkan agen tersebut.
Vektor serangan
Lightpanda mencari '@' di seluruh string URL daripada hanya komponen authority saat menghitung origin halaman, sehingga URL seperti http://attacker.com/@victim.com/ diambil dari attacker.com tetapi diperlakukan seolah-olah milik origin victim.com, melanggar batas keamanan same-origin.
Sistem yang terdampak
Lightpanda sebelum 0.3.1
Mitigasi
Upgrade ke Lightpanda 0.3.1 atau lebih baru.