CVE-2026-53981
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Cap-go w wersjach przed 12.128.2 zawiera podatność na przejęcie konta w mechanizmie zmiany adresu e-mail, która pozwala atakującemu z tymczasową sesją uwierzytelnioną na zmianę zarejestrowanego adresu e-mail bez ponownej autoryzacji. Atakujący mogą przekierować weryfikację na kontrolowany przez siebie adres e-mail i następnie zresetować hasło, aby na stałe przejąć konto ofiary.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym przejęcie kont użytkowników bez konieczności weryfikacji tożsamości. Może to prowadzić do utraty danych oraz naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację Cap-go do wersji 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wprowadzić dodatkowe mechanizmy weryfikacji przy zmianie adresu e-mail.
Oryginalny opis (angielski, źródło NVD)
Cap-go prior to 12.128.2 contains an account takeover vulnerability in its email change mechanism that allows an attacker with temporary authenticated session access to change the registered email address without re-authentication such as password or MFA verification. Attackers can redirect verification to an attacker-controlled email address and subsequently perform a password reset to permanently take over the victim's account.

