CVE-2026-56236
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Capgo CLI w wersjach przed 12.128.2 zawiera podatności na nadpisywanie plików, które nie są weryfikowane podczas operacji logowania i budowania poświadczeń. Atakujący mogą tworzyć złośliwe symlinki w repozytoriach, co pozwala na nadpisywanie dowolnych plików lub ujawnianie poświadczeń z uprawnieniami do odczytu dla wszystkich.
Ocena ryzyka
Organizacje mogą być narażone na utratę danych lub ujawnienie poufnych informacji, co może prowadzić do poważnych konsekwencji prawnych i reputacyjnych.
Rekomendacja
Zaleca się aktualizację Capgo CLI do wersji 12.128.2 lub nowszej oraz wprowadzenie dodatkowych mechanizmów weryfikacji symlinków w procesach budowania i logowania.
Oryginalny opis (angielski, źródło NVD)
Capgo CLI before 12.128.2 contains arbitrary file overwrite vulnerabilities in login and build credentials operations that follow symlinks without validation. Attackers can create malicious symlinks in repositories to overwrite arbitrary files or expose credentials with world-readable permissions when developers run the CLI.

