CVE-2026-56225
WysokieCVSS 8.3Streszczenie
Capgo przed wersją 12.128.2 zawiera podatność na obejście autoryzacji w swoich handlerach zarządzania kluczami API (get/put/delete/post). Klucze API utworzone w trybie=all, ale ograniczone do jednej aplikacji przez limited_to_apps, są sprawdzane tylko pod kątem limited_to_orgs, co pozwala na manipulację kluczami API należącymi do tego samego konta.
Ocena ryzyka
Podatność ta umożliwia aplikacjom z ograniczonym zakresem dostęp do kluczy API, które nie są przypisane do ich deklarowanego zakresu, co może prowadzić do nieautoryzowanego dostępu i manipulacji danymi konta.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kluczy API i ich uprawnień w celu zapewnienia bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authorization bypass vulnerability in its public API key management handlers (get/put/delete/post). API keys created with mode=all but restricted to a single app via limited_to_apps are only checked for limited_to_orgs and not for limited_to_apps, so an app-scoped key can enumerate, update, and delete sibling API keys belonging to the same account that are outside its declared app scope, enabling tampering with account-level credentials.

