CVE-2026-56227
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność typu server-side request forgery w walidacji URL webhooków, co pozwala na wykorzystanie adresów loopback i wewnętrznych. Administratorzy organizacji mogą konfigurować webhooki wskazujące na localhost lub 127.0.0.1, co prowadzi do wykonywania żądań wychodzących do tych adresów.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do ujawnienia informacji o błędach użytkownikom, co może narazić organizację na ataki i wyciek danych.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz przegląd konfiguracji webhooków, aby unikać wskazywania na adresy lokalne.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a server-side request forgery vulnerability in webhook URL validation that allows loopback and internal addresses. Organization admins can configure webhooks pointing to localhost or 127.0.0.1, and when triggered, the backend performs outbound requests to these addresses with error responses disclosed to users.

