CVE-2026-56249
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie autoryzacji w punkcie końcowym tworzenia kanałów. Uwierzytelnieni użytkownicy mogą nadpisywać istniejące kanały, ponownie wykorzystując ich nazwy.
Ocena ryzyka
Atakujący z uprawnieniem app.create_channel może przejąć własność kanałów i modyfikować konfiguracje produkcyjne, co prowadzi do nieautoryzowanego dostępu i potencjalnych zakłóceń w działaniu aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę usuwającą lukę w autoryzacji.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authorization bypass vulnerability in the channel creation endpoint that allows authenticated users to overwrite existing channels by reusing their names. Attackers with app.create_channel permission can exploit a logic mismatch between existence validation and upsert operations to reassign channel ownership and modify critical production channel configurations.

