CVE-2026-55879 in OpenReplayinformation

Résumé

par VulDB • 10/07/2026

OpenReplay est une suite de relecture de sessions auto-hébergée. À partir de la version 1.24.0 jusqu'à (mais non incluse) la version 1.25.0, le SDK de suivi OpenReplay accepte des noms d'événements personnalisés et des URL de pages capturées provenant de n'importe quel visiteur utilisant une clé de projet publique, les stocke dans ClickHouse sans encodage de sortie, puis les affiche ultérieurement dans le tableau de bord authentifié via TextEllipsis et la fenêtre modale des détails de l'événement. Cela permet à un attaquant non authentiqué d'injecter du script s'exécutant dans l'origine du tableau de bord, de lire le JWT de session depuis localStorage et de prendre le contrôle d'un compte du tableau de bord. Ce problème est corrigé dans la version 1.25.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

17/06/2026

Divulgation

11/07/2026

Modérer

accepté

Entrée

VDB-377643

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!