製品・ソフトウェアに関する情報

JVN脆弱性詳細

LookylooのPlaywright Captureにおけるサーバサイドのリクエストフォージェリの脆弱性

Title	LookylooのPlaywright Captureにおけるサーバサイドのリクエストフォージェリの脆弱性
Summary	PlaywrightCaptureはPlaywrightを使用したSplashのシンプルな代替手段です。バージョン1.39.6より前のPlaywrightCaptureは、レンダリングされたページによって開始されるナビゲーションやリソース要求を十分に制限していませんでした。攻撃者が制御するページは、window.location.hrefなどのブラウザ側のリダイレクトメカニズムを悪用して、キャプチャプロセスにfile:// URLを開かせたり、プライベート、ループバック、リンクローカル、またはその他の非公開IPアドレス上にホストされているリソースを要求させたりする可能性がありました。信頼されていないURLを処理する環境でPlaywrightCaptureを使用すると、リモートの攻撃者が内部サービスに対してサーバーサイドリクエストフォージェリを行ったり、キャプチャ環境のローカルファイルにアクセスを試みたりできる恐れがあります。生成および公開されるキャプチャアーチファクトの種類によっては、これらのリソースからの応答がスクリーンショット、保存されたページコンテンツ、ログ、またはその他のキャプチャ出力を通じて漏洩する可能性があります。この脆弱性はバージョン1.39.6で修正されました。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	June 3, 2026, 3:38 p.m.
Last Update	June 3, 2026, 3:38 p.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Affected System

Lookyloo

Playwright Capture 1.39.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44439	https://www.cve.org/CVERecord?id=CVE-2026-44439
National Vulnerability Database (NVD)
2	CVE-2026-44439	https://nvd.nist.gov/vuln/detail/CVE-2026-44439

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

ベンダー情報

No	Name	URL
GitHub
1	LookyLoo - PlaywrightCapture permits access to local files and internal network resources during page capture Advisory Lookyloo/PlaywrightCapture GitHub	https://github.com/Lookyloo/PlaywrightCapture/security/advisories/GHSA-687h-xw6f-q2qw

その他

No	Name	URL
関連文書
1	fix: Detect and block requests to internal ressources Lookyloo/PlaywrightCapture@49e289e GitHub	https://github.com/Lookyloo/PlaywrightCapture/commit/49e289eba756e4fbac1322c33cfd111411562405

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 3:38 p.m.

NVD Vulnerability Information

CVE-2026-44439

Summary	PlaywrightCapture is a simple replacement for splash using playwright. Prior to 1.39.6, PlaywrightCapture did not sufficiently restrict navigations and resource requests initiated by rendered pages. An attacker-controlled page could abuse browser-side redirection mechanisms, such as window.location.href, to make the capture process open file:// URLs or request resources hosted on private, loopback, link-local, or otherwise non-public IP addresses. In deployments where PlaywrightCapture processes untrusted URLs, this could allow a remote attacker to perform server-side request forgery against internal services or attempt to access local files from the capture environment. Depending on what capture artifacts are generated and exposed, responses from those resources could potentially be leaked through screenshots, saved page content, logs, or other capture outputs. This vulnerability is fixed in 1.39.6.
Publication Date	May 14, 2026, 7:16 a.m.
Registration Date	May 15, 2026, 4:23 a.m.
Last Update	May 15, 2026, 3:17 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/Lookyloo/PlaywrightCapture/commit/49e289eba756e4fbac1322c33cfd111411562405	security-advisories@github.com
2	https://github.com/Lookyloo/PlaywrightCapture/security/advisories/GHSA-687h-xw6f-q2qw	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-918	サーバサイドリクエストフォージェリ	https://cwe.mitre.org/data/definitions/918.html