CVE-2026-56079
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji między najemcami w punktach końcowych PostgREST, która pozwala na dostęp do sekretów webhooków i dzienników dostaw innych najemców za pomocą kluczy API o zakresie organizacji.
Ocena ryzyka
Atakujący mogą wykorzystać tę lukę do wykradania sekretów HMAC i ładunków dostaw, co umożliwia fałszowanie zdarzeń webhooków przeciwko organizacjom ofiar.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę lukę oraz ograniczenie dostępu do kluczy API o zakresie organizacji.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a cross-tenant authorization bypass vulnerability in PostgREST endpoints that allows org-scoped read API keys to access other tenants' webhook secrets and delivery logs. Attackers can query the webhooks and webhook_deliveries endpoints to exfiltrate HMAC signing secrets and delivery payloads, enabling forged webhook events against victim organizations.

