CVE-2026-56255
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na odmowę usługi w punkcie końcowym POST /app/demo, która pozwala uwierzytelnionym użytkownikom z uprawnieniami do zapisu w organizacji na tworzenie nieograniczonej liczby aplikacji demo bez ograniczeń prędkości lub egzekwowania kwot.
Ocena ryzyka
Atakujący mogą wielokrotnie wywoływać ten punkt końcowy, co prowadzi do znacznego obciążenia bazy danych i może powodować pogorszenie wydajności oraz niestabilność usługi.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej oraz wprowadzenie ograniczeń prędkości i kwot dla punktu końcowego POST /app/demo.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a denial of service vulnerability in the POST /app/demo endpoint that allows authenticated users with org write permissions to create unlimited demo applications without rate limiting or quota enforcement. Attackers can repeatedly invoke this endpoint to generate approximately 138 database write operations per request, causing degraded performance, increased costs, and potential service instability.

