CVE-2026-56230
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 polega na nieprawidłowej autoryzacji na poziomie obiektu w funkcji middlewareKey(). Funkcja ta akceptuje nagłówek x-limited-key-id kontrolowany przez klienta bez weryfikacji własności, co pozwala uwierzytelnionym użytkownikom na przejmowanie kluczy ograniczonych z innych dzierżawców. Atakujący może podać identyfikator klucza innego dzierżawcy, aby ominąć kontrole autoryzacji i uzyskać dostęp do nieautoryzowanych zasobów między dzierżawcami w wielu punktach końcowych API.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do danych i zasobów innych dzierżawców, co może prowadzić do naruszenia poufności, integralności oraz potencjalnych konsekwencji prawnych i reputacyjnych.
Rekomendacja
Należy natychmiast zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo warto przejrzeć konfigurację autoryzacji i wdrożyć mechanizmy walidacji własności kluczy.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a broken object level authorization vulnerability in middlewareKey() that accepts the client-controlled x-limited-key-id header without validating ownership, allowing authenticated users to adopt cross-tenant limited keys. Attackers can supply another tenant's limited key ID to bypass authorization checks and access unauthorized cross-tenant resources across multiple API endpoints.

