JVNDB-2026-012247 | |
PinchtabのPinchTabにおけるサーバサイドのリクエストフォージェリの脆弱性 | |
| 概要 | |
PinchTabは、AIエージェントにChromeブラウザの直接制御を提供するスタンドアロンのHTTPサーバーです。PinchTab v0.8.3には、オプションのスケジューラーのWebhook配信経路にサーバーサイドリクエストフォージェリ(SSRF)の脆弱性があります。ユーザー制御の`callbackUrl`を含む`POST /tasks`へのタスク送信時、v0.8.3のスケジューラーはタスクが終了状態に達するとそのURLへアウトバウンドHTTP `POST`を送信します。当該リリースではWebhookパスがURLスキームのみを検証し、ループバック、プライベート、リンクローカルまたは他の非公開宛先を拒否しませんでした。さらに、v0.8.3の実装はデフォルトのHTTPクライアント動作を使用していたため、リダイレクトが追跡され、宛先は検証済みIPに固定されていませんでした。このため、PinchTabサーバーから攻撃者が指定したHTTP(S)ターゲットへの盲目的なSSRFが可能となりました。この問題は一般的な認証なしのインターネット向けSSRFより限定的です。スケジューラーは任意かつデフォルトで無効であり、トークン保護された環境では攻撃者はすでにサーバーのマスターAPIトークンを用いてタスクを送信できる必要があります。PinchTabの想定展開モデルでは、そのトークンは低権限ではなく管理権限を示します。トークンなしの展開はさらにハードルを下げますが、それはWebhookのバグによる影響ではなく別の安全でない設定状態を示しています。PinchTabのデフォルト展開モデルはローカル優先かつユーザー管理で、推奨設定ではループバックバインドとトークンベースアクセスを備えています。これにより、スケジューラーが有効かつ到達可能な場合でも実際のリスクは低減しますが、根本的なWebhook問題は解消されませんでした。v0.8.4ではコールバックターゲットの送信前検証、非公開IPレンジの拒否、検証済みIPへの配信固定、リダイレクト追跡の無効化、およびタスク送信時の`callbackUrl`検証によってこの問題に対処しました。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 5.5 (警告) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
Pinchtab | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/03/26 |
| 登録日 | 2026/04/24 |
| 最終更新日 | 2026/04/24 |
