CVE-2026-55879 in OpenReplay
要約
〜によって VulDB • 2026年07月11日
OpenReplayは、セルフホスト型のセッションリプレイスイートです。バージョン1.24.0から1.25.0未満の間のOpenReplayでは、トラッキングSDKが公開プロジェクトキーを使用して任意の訪問者からカスタムイベント名およびキャプチャされたページURLを受け付け、出力エンコーディングを行わずにClickHouseに保存します。その後、認証済みダッシュボード内でTextEllipsisおよびevent-detailsモーダルを介してこれらがレンダリングされるため、未認証攻撃者はダッシュボードのオリジンで実行されるスクリプトを格納し、localStorageからセッションJWTを読み取り、ダッシュボードアカウント乗っ取りを行うことができます。この問題はバージョン1.25.0で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.