CVE-2026-45296

Nome do Software Vulnerável e Versões Afetadas OpenReplay versões anteriores a 1.26.0

Descrição O OpenReplay é uma suíte de replay de sessão auto-hospedada. A API Python contém várias rotas 'app apikey' que confiam em um projectKey fornecido pelo chamador após verificar apenas a validade da chave de API e a existência do projectKey de destino. O fluxo de autorização não verifica se a chave de API autenticada e o projeto solicitado pertencem ao mesmo locatário (tenant). Como o design do rastreador público expõe o projectKey ao código do lado do navegador, um invasor com uma chave de API válida para seu próprio locatário pode usar o projectKey público de outro locatário para enumerar sessões de usuários vítimas e recuperar dados sensíveis de eventos de sessão através dos limites de locatários.

Recomendações Atualizar para a versão 1.26.0.