Vulnerabilidad en pinchtab (CVE-2026-33620)

PinchTab es un servidor HTTP independiente que otorga a los agentes de IA control directo sobre un navegador Chrome. PinchTab 'v0.7.8' hasta 'v0.8.3' aceptaba el token de la API de un parámetro de consulta URL 'token' además del encabezado 'Authorization'. Cuando una credencial de API válida se envía en la URL, puede ser expuesta a través de URIs de solicitud registradas por intermediarios o herramientas del lado del cliente, como registros de acceso de proxy inverso, historial del navegador, historial de shell, historial del portapapeles y sistemas de rastreo que capturan URLs completas. Este problema es un patrón de transporte de credenciales inseguro en lugar de una omisión de autenticación directa. Solo afecta a las implementaciones donde se configura un token y un cliente realmente utiliza la forma de parámetro de consulta. La guía de seguridad de PinchTab ya recomendaba 'Authorization: Bearer ', pero 'v0.8.3' aún aceptaba '?token=' e incluía flujos de primera parte que generaban y consumían URLs que contenían el token. Esto se abordó en v0.8.4 al eliminar la autenticación de token en la cadena de consulta y al requerir flujos de autenticación más seguros basados en encabezados o en la sesión.