CVE-2026-44439

Nome do Software Vulnerável e Versões Afetadas Playwright Capture (versões afetadas não especificadas)

Descrição O Playwright Capture não restringe adequadamente as navegações e solicitações de recursos iniciadas por páginas renderizadas. Uma página controlada por um invasor pode abusar de mecanismos de redirecionamento do lado do navegador, como window.location.href, para forçar o processo de captura a abrir URLs 'file://' ou solicitar recursos de endereços IP privados, de loopback, link-local ou não públicos. Isso pode levar ao Server-Side Request Forgery (SSRF), onde um invasor remoto realiza solicitações contra serviços internos ou acessa arquivos locais do ambiente de captura. Dependendo dos artefatos gerados, as respostas desses recursos podem ser vazadas por meio de capturas de tela, conteúdo de página salvo ou logs.

Recomendações Aplique a correção que introduz verificações de roteamento de solicitações para bloquear solicitações secundárias a arquivos locais, endereços IP não globais e domínios .local quando only global lookup estiver habilitado.