취약점  ·  2026-07-17

Lightpanda Headless Browser — credentials 설정과 무관하게 Cross-Origin 요청에 인증정보 첨부

취약점Medium 영향도GlobalCVE-2026-52843
Lightpanda는 표준 fetch/XHR 인증정보-범위 지정 지시문을 무시하고 요청된 인증정보 정책과 관계없이 모든 아웃바운드 요청에 세션 쿠키를 전송했습니다.
사용자를 대신하여 웹을 탐색하기 위해 Lightpanda를 사용하는 AI 에이전트의 경우, 이 버그는 인증된 세션 쿠키를 에이전트가 방문하는 모든 사이트로 유출시키며, 일반적인 에이전트 브라우징을 인증정보 탈취 벡터로 변환합니다.
Lightpanda의 fetch() 및 XMLHttpRequest 구현은 credentials: omit/same-origin/include 및 XMLHttpRequest.withCredentials 지시문을 무시하고 모든 HTTP 요청에 무조건적으로 세션 쿠키를 첨부하여 세션 쿠키를 타사 출처로 유출했습니다.
0.2.9 이전의 Lightpanda
Lightpanda 0.2.9 이상으로 업그레이드하세요.
NVD CVE-2026-52843
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →