脆弱性  ·  2026-07-17

Lightpanda Headless Browser — credentials設定に関係なく、クロスオリジンリクエストに認証情報が添付される

脆弱性Medium 影響度GlobalCVE-2026-52843
Lightpandaは標準的なfetch/XHR認証情報スコープ指定を無視し、リクエストされた認証情報ポリシーに関わらず、すべてのアウトバウンドリクエストにセッションクッキーを送信していた。
ユーザーに代わってウェブを閲覧するためにLightpandaを使用するAIエージェントの場合、このバグはエージェントが訪問するあらゆるサイトに認証済みセッションクッキーをリークさせ、日常的なエージェント閲覧を認証情報流出ベクトルに変えてしまう。
Lightpandaのfetch()およびXMLHttpRequest実装は、credentials: omit/same-origin/includeおよびXMLHttpRequest.withCredentialsディレクティブを無視して、すべてのHTTPリクエストに無条件にセッションクッキーを添付し、セッションクッキーをサードパーティオリジンにリークしていた。
Lightpanda 0.2.9より前
Lightpanda 0.2.9以降にアップグレードしてください。
NVD CVE-2026-52843
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →