CVE-2026-56247
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 umożliwia administratorom organizacji przypisywanie ról RBAC o zasięgu organizacyjnym na poziomie aplikacji bez walidacji zgodności zakresu, w tym dla oczekujących zaproszeń. Atakujący mogą wstępnie utworzyć nieprawidłowe powiązania o wysokich uprawnieniach, które przetrwają akceptację zaproszenia, umożliwiając użytkownikom o niskich uprawnieniach wykonywanie nieautoryzowanych uprzywilejowanych działań w aplikacji.
Ocena ryzyka
Ryzyko polega na możliwości eskalacji uprawnień przez użytkowników o niskim poziomie dostępu, co może prowadzić do nieautoryzowanego dostępu do wrażliwych funkcji aplikacji i naruszenia integralności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę walidującą zgodność zakresu ról RBAC.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 allows org admins to assign org-scoped RBAC roles at app scope without validating role scope compatibility, including to pending invitees. Attackers can pre-seed malformed high-privilege bindings that survive invite acceptance, enabling accepted low-privilege users to perform unauthorized privileged app actions.

