漏洞  ·  2026-07-17

Lightpanda 无头浏览器 — 凭证被附加到跨源请求(不管凭证设置如何)

漏洞Medium 影响GlobalCVE-2026-52843
Lightpanda 忽略了标准的 fetch/XHR 凭证范围指令,无论请求的凭证策略如何,都在每个出站请求上发送会话 cookie。
对于使用 Lightpanda 代表用户浏览网络的 AI 代理,此漏洞会将已认证的会话 cookie 泄露给代理访问的任何网站,将常规代理浏览转变为凭证窃取向量。
Lightpanda 的 fetch() 和 XMLHttpRequest 实现无条件地将会话 cookie 附加到每个 HTTP 请求,忽略 credentials: omit/same-origin/include 和 XMLHttpRequest.withCredentials 指令,将会话 cookie 泄露给第三方源。
Lightpanda 0.2.9 之前的版本
升级到 Lightpanda 0.2.9 或更高版本。
NVD CVE-2026-52843
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →