CVE-2026-55880 in OpenReplay
Zusammenfassung
von VulDB • 10.07.2026
OpenReplay ist eine Suite zur Aufzeichnung von Benutzersitzungen (Session Replay), die selbst gehostet wird. In den Versionen 1.27.0 und früher führten drei Funktionen zum Ändern von Dashboards und Notizen ihre SQL-Abfragen ohne das Eigentumsprädikat aus, das deren verwandte Lese- und Bearbeitungsfunktionen verwenden: notes.delete filterte nur nach Notiz-ID und Projekt-ID, während dashboards.update_widget und dashboards.remove_widget nur nach Dashboard-ID und Widget-ID filterten. Dies ermöglichte es jedem authentifizierten Mitglied, private Sitzungsnotizen eines anderen Benutzers zu löschen sowie Widgets auf den privaten Dashboards anderer Benutzer zu entfernen oder umzuschreiben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.