Katalog CVE

CVE-2026-56227

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera podatność typu server-side request forgery w walidacji URL webhooków, co pozwala na wykorzystanie adresów loopback i wewnętrznych. Administratorzy organizacji mogą konfigurować webhooki wskazujące na localhost lub 127.0.0.1, co prowadzi do wykonywania żądań wychodzących do tych adresów.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do ujawnienia informacji o błędach użytkownikom, co może narazić organizację na ataki i wyciek danych.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz przegląd konfiguracji webhooków, aby unikać wskazywania na adresy lokalne.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a server-side request forgery vulnerability in webhook URL validation that allows loopback and internal addresses. Organization admins can configure webhooks pointing to localhost or 127.0.0.1, and when triggered, the backend performs outbound requests to these addresses with error responses disclosed to users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS