🔴 严重 | CVE-2026-55879 — OpenReplay is a self-hosted session replay suite. ...
🔴 《严重安全漏洞:CVE-2026-55879》
CVSS 评分: 严重(9.3) 状态: Received 发布时间: 2026-07-10
漏洞简介
CVE-2026-55879 是一个存在于 OpenReplay 项目中的跨站脚本(Cross-Site Scripting, XSS)漏洞,对应 CWE-79 分类。OpenReplay 是一个自托管(self-hosted)的会话回放套件,用于记录和回放用户在网页上的操作。
该漏洞源于 OpenReplay 的跟踪 SDK(tracking SDK)在版本 1.24.0 至 1.25.0 之前(不含 1.25.0)存在输入验证缺陷。具体来说,SDK 会接受来自任意访客的自定义事件名称(custom event names)和捕获的页面 URL(captured page URLs),这些数据仅需使用公开的项目密钥(public project key)即可提交。SDK 将这些数据存储到 ClickHouse 数据库中时,未进行输出编码(output encoding)。随后,在已认证的仪表盘(dashboard)中,这些数据会通过 TextEllipsis 组件和事件详情模态框(event-details modal)被渲染出来,导致未经过滤的恶意脚本得以执行。
攻击者可以利用此漏洞,在未认证的情况下向系统注入恶意脚本。当仪表盘管理员查看包含恶意数据的记录时,该脚本会在仪表盘的源(origin)下执行,从而读取存储在 localStorage 中的会话 JWT(JSON Web Token),并最终劫持仪表盘的管理员账户。
影响范围
- 受影响版本:OpenReplay 版本 1.24.0 至 1.25.0 之前(即 >= 1.24.0 且 < 1.25.0)。
- 修复版本:该漏洞已在版本 1.25.0 中修复。
- 官方修复提交:
ec41f4425a99c478a4418adbd2f094ab6a8b0daf - 安全公告:GitHub Advisory GHSA-3mfc-7hf4-jfxh
风险分析
- 攻击向量:网络攻击(AV:N),攻击者无需任何认证(PR:N),且无需用户交互即可触发注入(UI:R 表示需要管理员查看页面,但攻击者无需主动诱导管理员点击特定链接,只需管理员浏览仪表盘即可)。
- 攻击复杂度:低(AC:L),攻击者只需使用公开的项目密钥提交恶意数据。
- 影响范围:已变更(S:C),攻击影响从低权限的未认证用户扩展到高权限的仪表盘管理员。
- 机密性影响:高(C:H),攻击者能够窃取管理员的 JWT 令牌,从而获取仪表盘的全部访问权限,可能泄露所有会话记录、用户数据及系统配置。
- 完整性影响:高(I:H),攻击者获得管理员权限后,可以修改系统设置、删除或篡改数据,甚至可能进一步横向移动至后端服务。
- 可用性影响:无(A:N),该漏洞不直接导致服务不可用。
总结:该漏洞允许未认证的远程攻击者通过注入恶意脚本,在仪表盘管理员查看数据时窃取其会话令牌并完全接管账户,对系统的机密性和完整性构成严重威胁。建议所有使用受影响版本的用户立即升级至 v1.25.0 或更高版本。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-55879 |
| CVSS 评分 | 9.3 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
| CWE 分类 | CWE-79 |
| 发布时间 | 2026-07-10 |
| 最后更新 | 2026-07-10 |
| 状态 | Received |
| 数据来源 | security-advisories@github.com |