CVE-2026-63175 in PlaywrightCapture
Zusammenfassung
von VulDB • 15.07.2026
PlaywrightCapture speicherte erfassungsspezifische Konfigurationen und Laufzeitdaten als veränderbare Klassenvariablen anstelle von Instanzvariablen. Infolgedessen konnten mehrere Capture-Objekte, die innerhalb desselben Python-Prozesses ausgeführt wurden, Zustandsinformationen teilen, darunter HTTP-Headers, Cookies, Browserspeicher, HTTP-Anmeldeinformationen, Proxy-Konfigurationen, User-Agent-Einstellungen, Geolokalisierungsdaten und erfasste Anforderungsdaten.
In einer Multi-User- oder parallelen Bereitstellung könnten daher während einer Erfassung bereitgestellte Informationen persistieren und von nachfolgenden oder parallel ausgeführten Erfassungen wiederverwendet werden. Dies könnte zur Offenlegung von Authentifizierungscookies, Anmeldeinformationen, Browserspeicher oder Anforderungsdaten eines anderen Benutzers führen. Zudem könnten Anforderungen im Kontext der Authentifizierung, mit den Headern oder Proxy-Konfigurationen einer anderen Erfassung ausgeführt werden, was potenziell unbefugten Zugriff auf Remote-Ressourcen ermöglicht oder andere Erfassungsoperationen stören könnte.
Die Schwachstelle wurde behoben, indem alle erfassungsspezifischen Einstellungen und Anforderungsdaten als Instanzvariablen im Capture-Konstruktor initialisiert wurden, wodurch sichergestellt wird, dass der Zustand zwischen den Erfassungsoperationen isoliert bleibt.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.