CVE-2026-63175 in PlaywrightCaptureinformação

Sumário

de VulDB • 16/07/2026

O PlaywrightCapture armazenava configurações específicas da captura e dados de tempo de execução como variáveis de classe mutáveis em vez de variáveis de instância. Consequentemente, múltiplos objetos Capture executados dentro do mesmo processo Python poderiam compartilhar estado, incluindo cabeçalhos HTTP, cookies, armazenamento do navegador, credenciais HTTP, configuração de proxy, configurações de user-agent, informações de geolocalização e dados de requisição capturada.

Em uma implantação multiusuário ou concorrente, as informações fornecidas durante uma captura poderiam, portanto, persistir e ser reutilizadas por uma captura subsequente ou paralela. Isso poderia resultar na divulgação de cookies de autenticação, credenciais, armazenamento do navegador ou dados de requisição capturada pertencentes a outro usuário. Também poderia causar que requisições fossem realizadas com o contexto de autenticação, cabeçalhos ou configuração de proxy de outra captura, potencialmente permitindo acesso não autorizado a recursos remotos ou interferência em outras operações de captura.

A vulnerabilidade foi resolvida inicializando todas as configurações específicas da captura e dados de requisição como variáveis de instância no construtor Capture, garantindo que o estado seja isolado entre as operações de captura.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

CIRCL

Reservar

15/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379431

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!