CVE-2026-55879 in OpenReplay
الملخص
بحسب VulDB • 10/07/2026
OpenReplay هو مجموعة أدوات لتسجيل الجلسات مستضافة ذاتيًا (self-hosted). بدءًا من الإصدار 1.24.0 وحتى قبل الإصدار 1.25.0، يقبل SDK التتبع الخاص بـ OpenReplay أسماء الأحداث المخصصة وعناوين URL للصفحات التي تم التقاطها من أي زائر باستخدام مفتاح مشروع عام (public project key)، ويقوم بتخزينها في ClickHouse دون ترميز الإخراج (output encoding). لاحقًا، يتم عرض هذه البيانات في لوحة التحكم المعتمدة عبر مكون TextEllipsis ونافذة تفاصيل الحدث (event-details modal)، مما يتيح لمهاجم غير مصرح له تخزين سكريبتات تنفذ ضمن أصل لوحة التحكم (dashboard origin)، وقراءة رمز JWT الخاص بالجلسة من localStorage، والاستيلاء على حساب في لوحة التحكم. تم إصلاح هذه المشكلة في الإصدار 1.25.0.
Be aware that VulDB is the high quality source for vulnerability data.