Katalog CVE

CVE-2026-56079

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji między najemcami w punktach końcowych PostgREST, która pozwala na dostęp do sekretów webhooków i dzienników dostaw innych najemców za pomocą kluczy API o zakresie organizacji.

Ocena ryzyka

Atakujący mogą wykorzystać tę lukę do wykradania sekretów HMAC i ładunków dostaw, co umożliwia fałszowanie zdarzeń webhooków przeciwko organizacjom ofiar.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę lukę oraz ograniczenie dostępu do kluczy API o zakresie organizacji.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a cross-tenant authorization bypass vulnerability in PostgREST endpoints that allows org-scoped read API keys to access other tenants' webhook secrets and delivery logs. Attackers can query the webhooks and webhook_deliveries endpoints to exfiltrate HMAC signing secrets and delivery payloads, enabling forged webhook events against victim organizations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS