CVE-2026-63175 in PlaywrightCapture
要約
〜によって VulDB • 2026年07月16日
PlaywrightCaptureは、キャプチャ固有の設定およびランタイムデータをインスタンスレベル変数ではなくミュータブルなクラスレベル変数として保存していました。その結果、同じPythonプロセス内で実行される複数のCaptureオブジェクト間で状態が共有され、HTTPヘッダー、クッキー、ブラウザストレージ、HTTP認証情報、プロキシ設定、ユーザーエージェント設定、地理位置情報、およびキャプチャされたリクエストデータが含まれます。
マルチユーザー環境または並列デプロイメントでは、あるキャプチャ中に提供された情報が保持され、後続のまたは並行して実行される別のキャプチャによって再利用される可能性があります。これにより、他のユーザーに属する認証クッキー、資格情報、ブラウザストレージ、またはキャプチャされたリクエストデータが漏洩する恐れがあります。また、別のキャプチャの認証コンテキスト、ヘッダー、またはプロキシ設定を使用してリクエストが行われることで、リモートリソースへの不正アクセスや他のキャプチャ操作への干渉を招く可能性があります。
この脆弱性は、Captureコンストラクタ内ですべてのキャプチャ固有の設定およびリクエストデータをインスタンス変数として初期化することで解決されており、これによりキャプチャ操作間で状態が分離されます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.