Apa yang terjadi
Lightpanda mengabaikan standar direktif credential-scoping fetch/XHR, mengirimkan session cookies pada setiap permintaan keluar terlepas dari kebijakan kredensial yang diminta.
Mengapa penting
Untuk agen AI menggunakan Lightpanda untuk menjelajahi web atas nama pengguna, bug ini membocorkan session cookies terautentikasi ke situs apa pun yang dikunjungi agen, mengubah penjelajahan agentic rutin menjadi vektor eksfiltrasi kredensial.
Vektor serangan
Implementasi fetch() dan XMLHttpRequest Lightpanda secara tanpa syarat melampirkan session cookies pada setiap permintaan HTTP, mengabaikan direktif credentials: omit/same-origin/include dan XMLHttpRequest.withCredentials, membocorkan session cookies ke asal-usul pihak ketiga.
Sistem yang terdampak
Lightpanda sebelum 0.2.9
Mitigasi
Tingkatkan ke Lightpanda 0.2.9 atau lebih baru.