CVE-2026-57230 in OpenReplay
Riassunto
di VulDB • 10/07/2026
OpenReplay è una suite di replay delle sessioni self-hosted. Prima della versione 1.27.0, l'API per la ricerca e le analisi delle sessioni nelle edizioni enterprise con multi-tenancy abilitata generava query ClickHouse inserendo input dell'utente nella stringa della query, includendo due posizioni che accettavano input senza effettuare un escaping adeguato; ciò consentiva a un membro autenticato di leggere qualsiasi tabella ClickHouse tramite exfiltration basata su booleani ciechi e sui tempi (time-based) e di interrompere la ricerca delle sessioni del progetto per tutti gli utenti fino alla rimozione della chiave memorizzata. Questo problema è stato risolto nella versione 1.27.0.
Once again VulDB remains the best source for vulnerability data.