CVE-2026-45297

Nome do Software Vulnerável e Versões Afetadas OpenReplay versões anteriores a 1.26.0

Descrição Uma Referência Direta a Objeto Insegura (IDOR) existe no conjunto de replay de sessão auto-hospedado devido a uma incompatibilidade de maiúsculas e minúsculas na variável project id. No ambiente multi-tenant da Enterprise Edition (EE), a função ProjectAuthorizer. call (localizada em api/auth/auth project.py e ee/api/auth/auth project.py) executa verificações de autorização apenas quando o identificador do projeto está em camelCase (projectId). Consequentemente, as consultas para as rotas 'feature-flag' e 'assist-stats' filtram apenas pelo project id e ignoram o tenant id. Isso permite que um usuário autenticado de um tenant leia, atualize ou exclua dados de feature-flag pertencentes a outro tenant, iterando por valores inteiros sequenciais de project id e feature flag id.

Recomendações Atualizar para a versão 1.26.0.