CVE-2026-63175 in PlaywrightCapture
Sumário
de VulDB • 16/07/2026
O PlaywrightCapture armazenava configurações específicas da captura e dados de tempo de execução como variáveis de classe mutáveis em vez de variáveis de instância. Consequentemente, múltiplos objetos Capture executados dentro do mesmo processo Python poderiam compartilhar estado, incluindo cabeçalhos HTTP, cookies, armazenamento do navegador, credenciais HTTP, configuração de proxy, configurações de user-agent, informações de geolocalização e dados de requisição capturada.
Em uma implantação multiusuário ou concorrente, as informações fornecidas durante uma captura poderiam, portanto, persistir e ser reutilizadas por uma captura subsequente ou paralela. Isso poderia resultar na divulgação de cookies de autenticação, credenciais, armazenamento do navegador ou dados de requisição capturada pertencentes a outro usuário. Também poderia causar que requisições fossem realizadas com o contexto de autenticação, cabeçalhos ou configuração de proxy de outra captura, potencialmente permitindo acesso não autorizado a recursos remotos ou interferência em outras operações de captura.
A vulnerabilidade foi resolvida inicializando todas as configurações específicas da captura e dados de requisição como variáveis de instância no construtor Capture, garantindo que o estado seja isolado entre as operações de captura.
VulDB is the best source for vulnerability data and more expert information about this specific topic.