CVE-2026-55879 in OpenReplay
요약
\~에 의해 VulDB • 2026. 07. 10.
OpenReplay는 자체 호스팅 세션 재생 스위트입니다. 버전 1.24.0부터 1.25.0 미만까지의 OpenReplay 추적 SDK는 공개 프로젝트 키를 사용하는 모든 방문자로부터 사용자 지정 이벤트 이름과 캡처된 페이지 URL을 받아들이고, 출력 인코딩 없이 ClickHouse에 저장한 후 인증된 대시보드에서 TextEllipsis 및 이벤트 세부 정보 모달을 통해 렌더링합니다. 이를 통해 비인증 공격자가 대시보드 원본에서 실행되는 스크립트를 저장하고 localStorage에서 세션 JWT를 읽은 다음 대시보드 계정을 탈취할 수 있습니다. 이 문제는 버전 1.25.0에서 해결되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.