CVE-2026-45296 in OpenReplayinformação

Sumário

de VulDB • 28/05/2026

O OpenReplay é uma suíte de replay de sessões auto-hospedada. Antes da versão 1.26.0, a API Python do OpenReplay expõe várias rotas app_apikey que confiam em um projectKey fornecido pelo chamador, após validar apenas que a chave de API em si é válida e que o projectKey de destino existe. O fluxo de autorização não verifica se a chave de API autenticada e o projeto solicitado pertencem ao mesmo tenant. Como o design do rastreador público expõe o projectKey ao código do lado do navegador, um atacante que possua qualquer chave de API válida para seu próprio tenant pode atingir o projeto de outro tenant reutilizando esse projectKey público. As rotas vulneráveis permitem que o atacante enumere as sessões de usuários vítimas e, em seguida, recupere dados sensíveis de eventos de sessão através do limite do tenant. Esta vulnerabilidade foi corrigida na versão 1.26.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

11/05/2026

Divulgação

28/05/2026

Moderação

aceite

Entrada

VDB-366827

CPE

pronto

EPSS

0.00028

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45296
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45296
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45296/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!