Katalog CVE

CVE-2026-56221

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Cap-go przed wersją 12.128.2 zawiera wiele podatności na wstrzykiwanie SQL w pliku cloudflare.ts, gdzie wartości kontrolowane przez użytkownika z ciał żądań API są interpolowane bezpośrednio do ciągów zapytań SQL bez sanitizacji lub parametryzacji. Użytkownicy z uprawnieniami do odczytu klucza API mogą wstrzykiwać dowolny SQL przez parametry deviceIds, search, version_name, cursor i actions.

Ocena ryzyka

Podatność ta pozwala uwierzytelnionym użytkownikom na dostęp do danych analitycznych innych użytkowników lub aplikacji, co może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację do wersji Cap-go 12.128.2 lub nowszej oraz wdrożenie odpowiednich mechanizmów sanitizacji i parametryzacji zapytań SQL.

Oryginalny opis (angielski, źródło NVD)

Cap-go before 12.128.2 contains multiple SQL injection vulnerabilities in cloudflare.ts where user-controlled values from API request bodies are interpolated directly into SQL query strings without sanitization or parameterization. Authenticated users with read-level API key permissions can inject arbitrary SQL through deviceIds, search, version_name, cursor, and actions parameters to access analytics data belonging to other users or applications.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS