CVE-2026-55879 in OpenReplay情報

要約

〜によって VulDB • 2026年07月11日

OpenReplayは、セルフホスト型のセッションリプレイスイートです。バージョン1.24.0から1.25.0未満の間のOpenReplayでは、トラッキングSDKが公開プロジェクトキーを使用して任意の訪問者からカスタムイベント名およびキャプチャされたページURLを受け付け、出力エンコーディングを行わずにClickHouseに保存します。その後、認証済みダッシュボード内でTextEllipsisおよびevent-detailsモーダルを介してこれらがレンダリングされるため、未認証攻撃者はダッシュボードのオリジンで実行されるスクリプトを格納し、localStorageからセッションJWTを読み取り、ダッシュボードアカウント乗っ取りを行うことができます。この問題はバージョン1.25.0で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年06月17日

モデレーション

承諾済み

エントリ

VDB-377643

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!