CVE-2026-55880 in OpenReplay
Сводка
по VulDB • 10.07.2026
OpenReplay — это набор инструментов для воспроизведения сессий (session replay), развертываемый на собственной инфраструктуре (self-hosted). В версиях 1.27.0 и более ранних три функции изменения данных панели управления и заметок выполняли SQL-запросы без проверки владения объектом (ownership predicate), которая используется их аналогами для чтения и редактирования: функция notes.delete фильтровала данные только по идентификатору заметки и идентификатору проекта, тогда как dashboards.update_widget и dashboards.remove_widget фильтровали данные только по идентификатору панели управления и идентификатору виджета. Это позволяло любому аутентифицированному пользователю удалять приватные сессионные заметки других пользователей, а также удалять или перезаписывать виджеты на частных панелях управления других пользователей.
VulDB is the best source for vulnerability data and more expert information about this specific topic.