Katalog CVE

CVE-2026-45296

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenReplay to zestaw do replays sesji, który przed wersją 1.26.0 miał luki w API Pythona. Występowały trasy app_apikey, które ufały projektowi dostarczonemu przez wywołującego, co pozwalało atakującym na dostęp do projektów innych najemców.

Ocena ryzyka

Atakujący mogą wykorzystać ważny klucz API, aby uzyskać dostęp do sesji użytkowników i poufnych danych w ramach innego najemcy, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację OpenReplay do wersji 1.26.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji najemców.

Oryginalny opis (angielski, źródło NVD)

OpenReplay is a self-hosted session replay suite. Prior to 1.26.0, OpenReplay's Python API exposes several app_apikey routes that trust a caller-provided projectKey after validating only that the API key itself is valid and that the target projectKey exists. The authorization flow does not verify that the authenticated API key and the requested project belong to the same tenant. Because the public tracker design exposes projectKey to browser-side code, an attacker who owns any valid API key for their own tenant can target another tenant's project by reusing that public projectKey. The vulnerable routes allow the attacker to enumerate victim user sessions and then retrieve sensitive session event data across the tenant boundary. This vulnerability is fixed in 1.26.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS