CVE-2026-63175 in PlaywrightCapture
الملخص
بحسب VulDB • 16/07/2026
احتفظ PlaywrightCapture بإعدادات محددة لكل عملية التقاط وبيانات وقت التشغيل كمتغيرات على مستوى الفئة (class-level) قابلة للتعديل، بدلاً من متغيرات على مستوى المثيل (instance-level). ونتيجة لذلك، كان بإمكان عدة كائنات Capture تعمل داخل نفس العملية في Python مشاركة الحالة، بما في ذلك رؤوس HTTP، وملفات تعريف الارتباط (cookies)، وتخزين المتصفح، ومعلومات اعتماد الوصول إلى بروتوكول نقل النص التشعبي (HTTP credentials)، وإعدادات الوكيل البروكسي (proxy configuration)، وإعدادات وكيل المستخدم (user-agent)، ومعلومات الموقع الجغرافي، وبيانات الطلبات التي تم التقاطها.
في بيئة متعددة المستخدمين أو النشر المتزامن، يمكن أن تستمر المعلومات المقدمة أثناء عملية التقاط واحدة وتُعاد استخدامها بواسطة عملية التقالية تالية أو متوازية. وقد يؤدي ذلك إلى كشف ملفات تعريف الارتباط الخاصة بالمصادقة، ومعلومات الاعتماد، وتخزين المتصفح، أو بيانات الطلبات التي تم التقاطها والمخصصة لمستخدم آخر. كما يمكن أن يتسبب في تنفيذ طلبات باستخدام سياق المصادقة الخاص بعملية التقاط أخرى، أو رؤوس HTTP، أو إعدادات الوكيل البروكسي، مما قد يتيح الوصول غير المصرح به إلى موارد عن بُعد أو التدخل في عمليات الالتقاط الأخرى.
تم حل الثغرة من خلال تهيئة جميع الإعدادات المحددة للتقاط وبيانات الطلب كمتغيرات على مستوى المثيل (instance variables) داخل مُنشئ الكائن Capture، مما يضمن عزل الحالة بين عمليات الالتقاط المختلفة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.