CVE-2026-56073
KrytyczneCVSS 9.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Cap-go przed wersją 12.128.2 zawiera podatność na obejście uwierzytelniania w weryfikacji OTP, co pozwala atakującym na ominięcie weryfikacji e-mailowej poprzez modyfikację odpowiedzi serwera. Atakujący mogą przechwytywać żądania weryfikacji OTP i manipulować odpowiedziami HTTP, co umożliwia fałszywe oznaczenie weryfikacji jako udanej.
Ocena ryzyka
Podatność ta stwarza ryzyko nieautoryzowanego włączenia 2FA oraz przejęcia konta, co może prowadzić do poważnych naruszeń bezpieczeństwa danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji Cap-go 12.128.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu monitorowania i ochrony przed atakami na weryfikację OTP.
Oryginalny opis (angielski, źródło NVD)
Cap-go before 12.128.2 contains an authentication bypass vulnerability in OTP verification that allows attackers to bypass email verification by modifying server responses. Attackers can intercept OTP verification requests and manipulate HTTP responses to falsely mark verification successful, enabling unauthorized 2FA enablement and account takeover.

