CVE-2026-56231
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Capgo w wersji przed 12.128.2 zawiera podatność BOLA (broken object level authorization) w punktach końcowych POST /build/start/:jobId oraz POST /build/cancel/:jobId. Atakujący może wykorzystać kontrolowane przez siebie app_id do autoryzacji żądań, co pozwala na uruchamianie lub anulowanie zadań budowy innych najemców.
Ocena ryzyka
Organizacja może być narażona na sabotaż budowy między najemcami, nieautoryzowane działania obliczeniowe oraz potencjalne problemy z rozliczeniami. Umożliwia to atakującym wpływanie na zasoby innych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby naprawić tę podatność. Dodatkowo, warto wdrożyć dodatkowe kontrole autoryzacji, aby upewnić się, że jobId w URL należy do odpowiedniego app_id.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a broken object level authorization (BOLA) vulnerability in the POST /build/start/:jobId and POST /build/cancel/:jobId endpoints. The handlers authorize the request based only on the attacker-controlled app_id supplied in the request body and never verify that the jobId in the URL belongs to that app_id (or the same tenant/org) before issuing privileged builder commands with the server-held builder API key. An authenticated user with the app.build_native permission for any app they control can start or cancel arbitrary builder jobs belonging to other tenants by supplying a victim jobId, resulting in cross-tenant build sabotage (denial of service), unauthorized compute actions, and potential billing impact.

