Kerentanan  ·  2026-07-17

Lightpanda Headless Browser — Origin Confusion via Malformed URL Authority Parsing

KerentananMedium dampakGlobalCVE-2026-52842
Bug parsing URL di komputasi origin Lightpanda memungkinkan penyerang membuat URL yang menyamar sebagai origin terpercaya untuk keperluan same-origin policy.
Lightpanda dirancang secara eksplisit sebagai alat browsing untuk AI agents; bug origin-confusion memungkinkan halaman berbahaya menipu agen browser-use AI untuk memperlakukan konten penyerang sebagai terpercaya, merusak kontrol keamanan berbasis origin apapun yang diandalkan agen tersebut.
Lightpanda mencari '@' di seluruh string URL daripada hanya komponen authority saat menghitung origin halaman, sehingga URL seperti http://attacker.com/@victim.com/ diambil dari attacker.com tetapi diperlakukan seolah-olah milik origin victim.com, melanggar batas keamanan same-origin.
Lightpanda sebelum 0.3.1
Upgrade ke Lightpanda 0.3.1 atau lebih baru.
NVD CVE-2026-52842
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →