何が起きたか
Lightpandaは標準的なfetch/XHR認証情報スコープ指定を無視し、リクエストされた認証情報ポリシーに関わらず、すべてのアウトバウンドリクエストにセッションクッキーを送信していた。
なぜ重要か
ユーザーに代わってウェブを閲覧するためにLightpandaを使用するAIエージェントの場合、このバグはエージェントが訪問するあらゆるサイトに認証済みセッションクッキーをリークさせ、日常的なエージェント閲覧を認証情報流出ベクトルに変えてしまう。
攻撃経路
Lightpandaのfetch()およびXMLHttpRequest実装は、credentials: omit/same-origin/includeおよびXMLHttpRequest.withCredentialsディレクティブを無視して、すべてのHTTPリクエストに無条件にセッションクッキーを添付し、セッションクッキーをサードパーティオリジンにリークしていた。
影響を受けるシステム
Lightpanda 0.2.9より前
緩和策
Lightpanda 0.2.9以降にアップグレードしてください。