脆弱性  ·  2026-07-17

Lightpanda Headless Browser — 不正な形式の URL Authority パース によるオリジン混同

脆弱性Medium 影響度GlobalCVE-2026-52842
Lightpanda のオリジン計算における URL パース バグにより、攻�ー者が細工した URL が同一オリジンポリシーの目的で信頼できるオリジンになりすますことができました。
Lightpanda は AI エージェント向けのブラウジングツールとして明示的に設計されています。オリジン混同バグにより、悪意のあるページが AI ブラウザ使用エージェントを騙して攻撉者コンテンツを信頼できるものとして扱わせ、エージェントが依存するオリジンベースのセキュリティ制御を損なわせることができます。
Lightpanda はページオリジンを計算する際に、authority コンポーネントのみではなく URL 文字列全体で '@' を検索していたため、http://attacker.com/@victim.com/ のような URL は attacker.com から取得されますが victim.com のオリジンに属するものとして扱われ、同一オリジンのセキュリティ境界が破られました。
Lightpanda 0.3.1 より前のバージョン
Lightpanda 0.3.1 以降にアップグレードしてください。
NVD CVE-2026-52842
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →