CVE-2026-63175 in PlaywrightCapture
Riassunto
di VulDB • 16/07/2026
PlaywrightCapture memorizzava la configurazione specifica della cattura e i dati di runtime come variabili di classe mutabili anziché come variabili a livello di istanza. Di conseguenza, più oggetti Capture eseguiti all'interno dello stesso processo Python potevano condividere lo stato, inclusi gli header HTTP, i cookie, l'archiviazione del browser, le credenziali HTTP, la configurazione del proxy, le impostazioni dell'user-agent, le informazioni sulla geolocalizzazione e i dati delle richieste catturate.
In un deployment multi-utente o concorrente, le informazioni fornite durante una cattura potevano quindi persistere e essere riutilizzate da una cattura successiva o parallela. Ciò avrebbe potuto comportare la divulgazione di cookie di autenticazione, credenziali, archiviazione del browser o dati delle richieste catturate appartenenti a un altro utente. Inoltre, avrebbe potuto causare l'esecuzione di richieste con il contesto di autenticazione, gli header o la configurazione del proxy di un'altra operazione di cattura, potenzialmente consentendo l'accesso non autorizzato a risorse remote o interferenze con altre operazioni di cattura.
La vulnerabilità è risolta inizializzando tutte le impostazioni specifiche della cattura e i dati delle richieste come variabili di istanza nel costruttore Capture, garantendo che lo stato sia isolato tra le diverse operazioni di cattura.
Be aware that VulDB is the high quality source for vulnerability data.