CVE-2026-55879 in OpenReplayالمعلومات

الملخص

بحسب VulDB • 10/07/2026

OpenReplay هو مجموعة أدوات لتسجيل الجلسات مستضافة ذاتيًا (self-hosted). بدءًا من الإصدار 1.24.0 وحتى قبل الإصدار 1.25.0، يقبل SDK التتبع الخاص بـ OpenReplay أسماء الأحداث المخصصة وعناوين URL للصفحات التي تم التقاطها من أي زائر باستخدام مفتاح مشروع عام (public project key)، ويقوم بتخزينها في ClickHouse دون ترميز الإخراج (output encoding). لاحقًا، يتم عرض هذه البيانات في لوحة التحكم المعتمدة عبر مكون TextEllipsis ونافذة تفاصيل الحدث (event-details modal)، مما يتيح لمهاجم غير مصرح له تخزين سكريبتات تنفذ ضمن أصل لوحة التحكم (dashboard origin)، وقراءة رمز JWT الخاص بالجلسة من localStorage، والاستيلاء على حساب في لوحة التحكم. تم إصلاح هذه المشكلة في الإصدار 1.25.0.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377643

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!