Katalog CVE

CVE-2026-56233

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.45%

Percentyl 36 — wyżej niż 36% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera podatność na przechodzenie ścieżek w proxy przesyłania plików, która umożliwia uwierzytelnionym użytkownikom z uprawnieniami do budowania ominięcie ograniczeń przesyłania. Atakujący mogą dołączać sekwencje przechodzenia do ścieżki przesyłania, które są normalizowane przez parser URL WHATWG, co umożliwia dostęp do wewnętrznych punktów końcowych administracyjnych z uprzywilejowanym nagłówkiem BUILDER_API_KEY i prowadzi do eskalacji uprawnień po stronie serwera.

Ocena ryzyka

Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do wrażliwych funkcji administracyjnych oraz potencjalne przejęcie kontroli nad serwerem przez atakującego, co może prowadzić do wycieku danych lub zakłócenia działania usług.

Rekomendacja

Zaleca się natychmiastową aktualizację Capgo do wersji 12.128.2 lub nowszej, która usuwa tę podatność. Należy również przejrzeć i ograniczyć uprawnienia użytkowników do budowania oraz monitorować logi pod kątem podejrzanych prób dostępu.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a path traversal vulnerability in the builder upload proxy that allows authenticated users with build permissions to bypass upload restrictions. Attackers can append traversal sequences to the upload path, which are normalized by the WHATWG URL parser, enabling access to internal administrative endpoints with the privileged BUILDER_API_KEY header and resulting in server-side privilege escalation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS