취약점  ·  2026-07-17

Lightpanda Headless Browser — 잘못된 URL Authority 파싱을 통한 Origin 혼동

취약점Medium 영향도GlobalCVE-2026-52842
Lightpanda의 origin 계산에서의 URL 파싱 버그로 인해 공격자가 조작한 URL이 동일 출처 정책 목적으로 신뢰할 수 있는 origin을 사칭할 수 있습니다.
Lightpanda는 AI 에이전트를 위한 브라우징 도구로 명시적으로 설계되었으며, origin 혼동 버그로 인해 악성 페이지가 AI 브라우저 사용 에이전트를 속여 공격자 콘텐츠를 신뢰할 수 있는 것으로 취급하게 하여, 에이전트가 의존하는 모든 origin 기반 보안 제어를 훼손할 수 있습니다.
Lightpanda는 page origin을 계산할 때 authority 구성 요소만이 아닌 전체 URL 문자열에서 '@'를 검색했으므로, http://attacker.com/@victim.com/과 같은 URL은 attacker.com에서 가져오지만 victim.com의 origin에 속하는 것처럼 처리되어 동일 출처 보안 경계를 깨뜨립니다.
0.3.1 이전의 Lightpanda
Lightpanda 0.3.1 이상으로 업그레이드하세요.
NVD CVE-2026-52842
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →