CVE-2026-56222
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w POST /private/role_bindings, która nie weryfikuje własności app_id podczas tworzenia powiązań ról w zakresie aplikacji. Atakujący z uprawnieniami administracyjnymi w jednej organizacji może tworzyć powiązania ról, które celują w aplikacje należące do innych organizacji.
Ocena ryzyka
Luka ta pozwala na nieautoryzowany dostęp do aplikacji ofiary, co może prowadzić do nieautoryzowanego odczytu i modyfikacji danych. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę lukę. Dodatkowo, należy przeprowadzić audyt uprawnień administracyjnych w organizacji.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authorization bypass vulnerability in POST /private/role_bindings that fails to verify app_id ownership during app-scoped role binding creation. An attacker with administrative privileges in one organization can create role bindings targeting applications owned by other organizations, enabling unauthorized read and modification of victim applications.

