🔴 《严重安全漏洞:CVE-2026-55879》

CVSS 评分: 严重(9.3)  状态: Received  发布时间: 2026-07-10


漏洞简介

CVE-2026-55879 是一个存在于 OpenReplay 项目中的跨站脚本(Cross-Site Scripting, XSS)漏洞,对应 CWE-79 分类。OpenReplay 是一个自托管(self-hosted)的会话回放套件,用于记录和回放用户在网页上的操作。

该漏洞源于 OpenReplay 的跟踪 SDK(tracking SDK)在版本 1.24.0 至 1.25.0 之前(不含 1.25.0)存在输入验证缺陷。具体来说,SDK 会接受来自任意访客的自定义事件名称(custom event names)和捕获的页面 URL(captured page URLs),这些数据仅需使用公开的项目密钥(public project key)即可提交。SDK 将这些数据存储到 ClickHouse 数据库中时,未进行输出编码(output encoding)。随后,在已认证的仪表盘(dashboard)中,这些数据会通过 TextEllipsis 组件和事件详情模态框(event-details modal)被渲染出来,导致未经过滤的恶意脚本得以执行。

攻击者可以利用此漏洞,在未认证的情况下向系统注入恶意脚本。当仪表盘管理员查看包含恶意数据的记录时,该脚本会在仪表盘的源(origin)下执行,从而读取存储在 localStorage 中的会话 JWT(JSON Web Token),并最终劫持仪表盘的管理员账户。

影响范围

  • 受影响版本:OpenReplay 版本 1.24.0 至 1.25.0 之前(即 >= 1.24.0 且 < 1.25.0)。
  • 修复版本:该漏洞已在版本 1.25.0 中修复。
  • 官方修复提交ec41f4425a99c478a4418adbd2f094ab6a8b0daf
  • 安全公告:GitHub Advisory GHSA-3mfc-7hf4-jfxh

风险分析

  • 攻击向量:网络攻击(AV:N),攻击者无需任何认证(PR:N),且无需用户交互即可触发注入(UI:R 表示需要管理员查看页面,但攻击者无需主动诱导管理员点击特定链接,只需管理员浏览仪表盘即可)。
  • 攻击复杂度:低(AC:L),攻击者只需使用公开的项目密钥提交恶意数据。
  • 影响范围:已变更(S:C),攻击影响从低权限的未认证用户扩展到高权限的仪表盘管理员。
  • 机密性影响:高(C:H),攻击者能够窃取管理员的 JWT 令牌,从而获取仪表盘的全部访问权限,可能泄露所有会话记录、用户数据及系统配置。
  • 完整性影响:高(I:H),攻击者获得管理员权限后,可以修改系统设置、删除或篡改数据,甚至可能进一步横向移动至后端服务。
  • 可用性影响:无(A:N),该漏洞不直接导致服务不可用。

总结:该漏洞允许未认证的远程攻击者通过注入恶意脚本,在仪表盘管理员查看数据时窃取其会话令牌并完全接管账户,对系统的机密性和完整性构成严重威胁。建议所有使用受影响版本的用户立即升级至 v1.25.0 或更高版本。


🔍 技术细节

字段
CVE ID CVE-2026-55879
CVSS 评分 9.3 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE 分类 CWE-79
发布时间 2026-07-10
最后更新 2026-07-10
状态 Received
数据来源 security-advisories@github.com

🔗 参考链接