Katalog CVE

CVE-2026-56256

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 wymusza obowiązkową dwuetapową weryfikację tylko na poziomie interfejsu użytkownika. Wrażliwe punkty końcowe API zarządzania organizacją nie weryfikują zakończenia 2FA na zapleczu, co pozwala na obejście wymogu 2FA przez uwierzytelnionego użytkownika Admin, który nie włączył 2FA.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane działania w ramach zarządzania organizacją, co może prowadzić do utraty danych lub naruszenia bezpieczeństwa. Brak odpowiedniej weryfikacji 2FA na poziomie backendu stwarza lukę, którą mogą wykorzystać atakujący.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby zapewnić, że dwuetapowa weryfikacja jest egzekwowana na poziomie backendu. Dodatkowo, należy wymusić włączenie 2FA dla wszystkich użytkowników Admin.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 enforces mandatory two-factor authentication only at the UI level. Sensitive Organization (ORG) management API endpoints (e.g., editing organization details, inviting users) do not validate 2FA completion on the backend. An authenticated Admin user who has not enabled 2FA can replay or modify a previously captured ORG API request to perform privileged organization actions, bypassing the globally enforced 2FA requirement.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS