Kerentanan  ·  2026-07-17

Lightpanda Headless Browser — Kredensial Terlampir pada Permintaan Cross-Origin Terlepas dari Pengaturan credentials

KerentananMedium dampakGlobalCVE-2026-52843
Lightpanda mengabaikan standar direktif credential-scoping fetch/XHR, mengirimkan session cookies pada setiap permintaan keluar terlepas dari kebijakan kredensial yang diminta.
Untuk agen AI menggunakan Lightpanda untuk menjelajahi web atas nama pengguna, bug ini membocorkan session cookies terautentikasi ke situs apa pun yang dikunjungi agen, mengubah penjelajahan agentic rutin menjadi vektor eksfiltrasi kredensial.
Implementasi fetch() dan XMLHttpRequest Lightpanda secara tanpa syarat melampirkan session cookies pada setiap permintaan HTTP, mengabaikan direktif credentials: omit/same-origin/include dan XMLHttpRequest.withCredentials, membocorkan session cookies ke asal-usul pihak ketiga.
Lightpanda sebelum 0.2.9
Tingkatkan ke Lightpanda 0.2.9 atau lebih baru.
NVD CVE-2026-52843
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →