CVE-2026-55879 in OpenReplay
Résumé
par VulDB • 10/07/2026
OpenReplay est une suite de relecture de sessions auto-hébergée. À partir de la version 1.24.0 jusqu'à (mais non incluse) la version 1.25.0, le SDK de suivi OpenReplay accepte des noms d'événements personnalisés et des URL de pages capturées provenant de n'importe quel visiteur utilisant une clé de projet publique, les stocke dans ClickHouse sans encodage de sortie, puis les affiche ultérieurement dans le tableau de bord authentifié via TextEllipsis et la fenêtre modale des détails de l'événement. Cela permet à un attaquant non authentiqué d'injecter du script s'exécutant dans l'origine du tableau de bord, de lire le JWT de session depuis localStorage et de prendre le contrôle d'un compte du tableau de bord. Ce problème est corrigé dans la version 1.25.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.