CVE-2026-55879 in OpenReplay
Сводка
по VulDB • 10.07.2026
OpenReplay — это набор инструментов для воспроизведения сессий (session replay), развертываемый на собственной инфраструктуре (self-hosted). В версиях OpenReplay Tracking SDK от 1.24.0 до 1.25.0 включительно система принимает пользовательские имена событий и захваченные URL-адреса страниц от любого посетителя, использующего публичный ключ проекта; сохраняет их в ClickHouse без кодирования вывода (output encoding) и впоследствии отображает на аутентифицированной панели управления через компонент TextEllipsis и модальное окно деталей события. Это позволяет неавторизованному злоумышленнику внедрить скрипт, выполняющийся в контексте домена панели управления, который считывает JWT-токен сессии из localStorage и захватывает учетную запись на панели управления. Проблема исправлена в версии 1.25.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.