OpenReplay: Authentifizierte ClickHouse-SQL-Injection in der Sitzungssuche

Advisory-ID: TP-2026-026
Produkt: OpenReplay (Session-Replay- und Produktanalyse-Plattform)
Schwachstellentyp: Authentifizierte SQL-Injection (CWE-89)
CVE: CVE-2026-57230
CVSS 3.1: 5.4 (Mittel) · CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:L
Betroffene Versionen: < 1.27.0
Behoben in: 1.27.0
Hersteller-Advisory: GHSA-vxf8-j7jx-p65x
Gemeldet: 29. Mai 2026

Zusammenfassung

OpenReplay ist eine Session-Replay- und Produktanalyse-Plattform. Die Sitzungssuche und die zugehörige Analyse-API setzen Nutzereingaben an zwei Stellen unescaped in die ClickHouse-Abfrage ein: in den Wert des Suchfilters name und in einen zuvor gespeicherten Metadaten-Schlüssel. Ein angemeldetes Mitglied kann darüber blinde boolean- und zeitbasierte SQL-Injection ausführen, beliebige ClickHouse-Tabellen lesen und so auf die Analysedaten aller Projekte zugreifen. Über den gespeicherten Metadaten-Schlüssel wirkt das Payload zudem persistent und stört die Sitzungssuche für alle Betrachter. turingpoint hat den Ablauf verifiziert und verantwortungsvoll gemeldet; der Hersteller hat ihn in 1.27.0 behoben.

Proof of Concept

Schematisch (angemeldetes Mitglied), zeitbasierte blinde Injection über den Suchfilter name:

POST /api/{projectId}/sessions/search
{
  "filters": [
    { "type": "name", "value": ["' OR sleep(3) -- "] }
  ]
}

-> Antwortzeit steigt um ~3 s pro getroffener Zeile (Oracle für blinde Extraktion).

Die zweite Senke ist ein gespeicherter Metadaten-Schlüssel: Wird er später in der Such-/Analyseabfrage interpoliert, läuft das eingebettete SQL erneut, ohne erneute Interaktion des Angreifers (persistent). Da der fehlende Escaping-Schritt beide Stellen betrifft, genügt eine '-haltige Eingabe, um aus dem Filterkontext auszubrechen.

Referenzen

• GHSA-vxf8-j7jx-p65x
• CVE-2026-57230
• Fix-Release: OpenReplay v1.27.0