CVE-2026-63175 in PlaywrightCapture
요약
\~에 의해 VulDB • 2026. 07. 16.
PlaywrightCapture는 캡처 전용 구성 및 런타임 데이터를 인스턴스 수준 변수가 아닌 가변 클래스 수준 변수로 저장했습니다. 그 결과, 동일한 Python 프로세스 내에서 실행되는 여러 Capture 객체는 HTTP 헤더, 쿠키, 브라우저 스토리지, HTTP 자격 증명, 프록시 구성, 사용자 에이전트 설정, 지리적 위치 정보 및 캡처된 요청 데이터를 포함한 상태를 공유할 수 있습니다.
다중 사용자 또는 동시 배포 환경에서는 한 번의 캡처 동안 제공된 정보가 이후 또는 병렬로 실행되는 다른 캡처 작업에서 지속되어 재사용될 수 있습니다. 이로 인해 다른 사용자의 인증 쿠키, 자격 증명, 브라우저 스토리지 또는 캡처된 요청 데이터가 유출될 수 있습니다. 또한 다른 캡처 작업의 인증 컨텍스트, 헤더 또는 프록시 구성을 사용하여 요청이 수행됨으로써 원격 리소스에 대한 무단 액세스나 기타 캡처 작업에 간섭이 발생할 가능성이 있습니다.
이 취약점은 Capture 생성자에서 모든 캡처 전용 설정 및 요청 데이터를 인스턴스 변수로 초기화하여 캡처 작업 간의 상태가 격리되도록 함으로써 해결되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.