Katalog CVE

CVE-2026-56212

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera błąd w logice uwierzytelniania, który pozwala użytkownikowi z uprawnieniami do zarządzania ustawieniami bezpieczeństwa zespołu lub organizacji na włączenie obowiązkowej dwuetapowej weryfikacji dla wszystkich członków zespołu bez wcześniejszego włączenia 2FA na własnym koncie.

Ocena ryzyka

Brak weryfikacji statusu 2FA inicjatora przed zmianą polityki prowadzi do niespójnego egzekwowania bezpieczeństwa, co może skutkować nadużyciami administracyjnymi oraz ryzykiem zablokowania członków zespołu.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej oraz wprowadzenie dodatkowych kontroli w celu zapewnienia, że użytkownicy muszą najpierw włączyć 2FA na swoich kontach przed wprowadzeniem zmian w polityce bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authentication logic flaw: a user with permission to manage team or organization security settings can enable mandatory two-factor authentication for all team members without first enabling 2FA on their own account. The application fails to verify the initiator's 2FA status before allowing the policy change, resulting in inconsistent security enforcement, potential administrative misuse, and lockout risk for team members.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS