Katalog CVE

CVE-2026-56255

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera podatność na odmowę usługi w punkcie końcowym POST /app/demo, która pozwala uwierzytelnionym użytkownikom z uprawnieniami do zapisu w organizacji na tworzenie nieograniczonej liczby aplikacji demo bez ograniczeń prędkości lub egzekwowania kwot.

Ocena ryzyka

Atakujący mogą wielokrotnie wywoływać ten punkt końcowy, co prowadzi do znacznego obciążenia bazy danych i może powodować pogorszenie wydajności oraz niestabilność usługi.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej oraz wprowadzenie ograniczeń prędkości i kwot dla punktu końcowego POST /app/demo.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a denial of service vulnerability in the POST /app/demo endpoint that allows authenticated users with org write permissions to create unlimited demo applications without rate limiting or quota enforcement. Attackers can repeatedly invoke this endpoint to generate approximately 138 database write operations per request, causing degraded performance, increased costs, and potential service instability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS