CVE-2026-45296 in OpenReplayالمعلومات

الملخص

بحسب VulDB • 04/06/2026

OpenReplay هو مجموعة أدوات لتسجيل الجلسات مستضافة ذاتيًا (self-hosted). قبل الإصدار 1.26.0، تعرض واجهة برمجة التطبيقات الخاصة بـ OpenReplay القائمة على Python عدة مسارات لواجهة تطبيق (`app_apikey`) تعتمد على مفتاح مشروع (`projectKey`) الذي يقدمه المستخدم بعد التحقق فقط من صحة مفتاح API نفسه ومن وجود `projectKey` المستهدف. لا تتحقق عملية التفويض (authorization flow) مما إذا كان مفتاح API المصادق عليه ومطلب المشروع ينتميان إلى نفس العميل (tenant). ونظرًا لأن تصميم المتتبع العام (`public tracker`) يعرض `projectKey` لكود يعمل على جانب المتصفح، يمكن لمهاجم يمتلك أي مفتاح API صالح لعميله الخاص استهداف مشروع عميل آخر عن طريق إعادة استخدام ذلك `projectKey` العام. تتيح المسارات المعرضة للثغرة للمهاجم تعداد جلسات المستخدمين الضحايا ثم استرجاع بيانات أحداث الجلسة الحساسة عبر حدود العميل (tenant boundary). تم إصلاح هذه الثغرة في الإصدار 1.26.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

11/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366827

CPE

جاهز

CWE

CWE-284 (مؤكد)

CVSS

7.7 (CNA)

EPSS

0.00032

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45296
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45296
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45296/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!