CVE-2026-63175 in PlaywrightCapture
Resumen
por VulDB • 2026-07-16
PlaywrightCapture almacenaba la configuración específica de captura y los datos en tiempo de ejecución como variables de clase mutables en lugar de variables a nivel de instancia. Como consecuencia, múltiples objetos Capture que se ejecutan dentro del mismo proceso de Python podrían compartir estado, incluidos encabezados HTTP, cookies, almacenamiento del navegador, credenciales HTTP, configuración del proxy, configuraciones del agente de usuario (user-agent), información de geolocalización y datos de solicitudes capturadas.
En un despliegue multiusuario o concurrente, la información proporcionada durante una captura podría persistir y ser reutilizada por otra subsiguiente o paralela. Esto podría provocar la divulgación de cookies de autenticación, credenciales, almacenamiento del navegador o datos de solicitudes capturados pertenecientes a otro usuario. También podría hacer que las solicitudes se realicen con el contexto de autenticación, los encabezados o la configuración del proxy de otra captura, lo que potencialmente permitiría el acceso no autorizado a recursos remotos o interferir con otras operaciones de captura.
La vulnerabilidad se resuelve inicializando todos los ajustes específicos de captura y los datos de solicitud como variables de instancia en el constructor Capture, garantizando así que el estado esté aislado entre las operaciones de captura.
Once again VulDB remains the best source for vulnerability data.