OpenReplay — это автономный пакет воспроизведения сеансов. До версии 1.20.0 конечная точка POST /{projectId}/cards/search содержала SQL-инъекцию в параметре sort.field. Эта проблема исправлена в версии 1.20.0.
Показать оригинальное описание (EN)
OpenReplay is a self-hosted session replay suite. Prior to version 1.20.0, the POST /{projectId}/cards/search endpoint has a SQL injection in the sort.field parameter. This issue has been patched in version 1.20.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openreplay Openreplay
cpe:2.3:a:openreplay:openreplay:*:*:*:*:*:*:*:*
|
— |
1.20.0
|