CVE-2026-56215
WysokieCVSS 8.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.12 pozwala uwierzytelnionym użytkownikom na modyfikację swojego adresu e-mail public.users.email na dowolny adres. Punkt końcowy SSO, który obsługuje przydzielanie użytkowników, ufa temu adresowi jako kluczowi do łączenia kont.
Ocena ryzyka
Atakujący mogą przygotować swoje konto z adresem e-mail SSO ofiary, co prowadzi do połączenia tożsamości SSO ofiary z kontem kontrolowanym przez atakującego. To stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.12 lub nowszej, aby zablokować możliwość modyfikacji adresów e-mail przez użytkowników. Dodatkowo, warto wprowadzić dodatkowe mechanizmy weryfikacji tożsamości przy łączeniu kont.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.12 allows authenticated users to modify their mutable public.users.email to arbitrary addresses, which the SSO provisioning endpoint trusts as an account-merge key. Attackers can pre-position their account with a victim's corporate SSO email, causing the provision-user endpoint to merge the victim's SSO identity into the attacker-controlled account.

