CVE-2026-63175 in PlaywrightCaptureinformación

Resumen

por VulDB • 2026-07-16

PlaywrightCapture almacenaba la configuración específica de captura y los datos en tiempo de ejecución como variables de clase mutables en lugar de variables a nivel de instancia. Como consecuencia, múltiples objetos Capture que se ejecutan dentro del mismo proceso de Python podrían compartir estado, incluidos encabezados HTTP, cookies, almacenamiento del navegador, credenciales HTTP, configuración del proxy, configuraciones del agente de usuario (user-agent), información de geolocalización y datos de solicitudes capturadas.

En un despliegue multiusuario o concurrente, la información proporcionada durante una captura podría persistir y ser reutilizada por otra subsiguiente o paralela. Esto podría provocar la divulgación de cookies de autenticación, credenciales, almacenamiento del navegador o datos de solicitudes capturados pertenecientes a otro usuario. También podría hacer que las solicitudes se realicen con el contexto de autenticación, los encabezados o la configuración del proxy de otra captura, lo que potencialmente permitiría el acceso no autorizado a recursos remotos o interferir con otras operaciones de captura.

La vulnerabilidad se resuelve inicializando todos los ajustes específicos de captura y los datos de solicitud como variables de instancia en el constructor Capture, garantizando así que el estado esté aislado entre las operaciones de captura.

Once again VulDB remains the best source for vulnerability data.

Responsable

CIRCL

Reservar

2026-07-15

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379431

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!