CVE-2026-45296 in OpenReplayinfo

Zusammenfassung

von VulDB • 28.05.2026

OpenReplay ist eine Suite zur Aufzeichnung von Benutzersitzungen, die selbst gehostet wird. Vor Version 1.26.0 bietet die Python-API von OpenReplay mehrere app_apikey-Endpunkte an, die einem vom Aufrufer bereitgestellten projectKey vertrauen, nachdem lediglich überprüft wurde, dass der API-Schlüssel selbst gültig ist und das angegebene Projekt mit dem projectKey existiert. Der Autorisierungsfluss überprüft nicht, ob der authentifizierte API-Schlüssel und das angeforderte Projekt zum selben Mandanten (Tenant) gehören. Da das Design des öffentlichen Trackers projectKey für Code auf Browserseite zugänglich macht, kann ein Angreifer, der über einen gültigen API-Schlüssel für seinen eigenen Mandanten verfügt, ein Projekt eines anderen Mandanten angreifen, indem er diesen öffentlichen projectKey wiederverwendet. Die anfälligen Endpunkte ermöglichen es dem Angreifer, die Sitzungen der Opfer aufzulisten und anschließend sensible Sitzungsereignisdaten über die Mandantengrenzen hinweg abzurufen. Diese Schwachstelle wurde in Version 1.26.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

28.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366827

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45296
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45296
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45296/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!