Katalog CVE

CVE-2026-56286

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie uwierzytelniania w punkcie końcowym usuwania konta, pozwalając na usunięcie konta bez ponownego uwierzytelnienia hasłem lub dodatkowej weryfikacji. Atakujący mogą wykorzystać przejęcie sesji, ataki CSRF lub manipulację parametrami, co prowadzi do nieautoryzowanego usunięcia konta, utraty danych i odmowy usługi.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowane usunięcie kont użytkowników, co może skutkować trwałą utratą danych i przerwaniem działania usługi dla ofiar. Atakujący mogą łatwo przeprowadzić atak bez znajomości hasła ofiary.

Rekomendacja

Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej. Dodatkowo wdrożyć obowiązkowe ponowne uwierzytelnienie hasłem oraz zabezpieczenia CSRF dla wrażliwych operacji.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authentication bypass vulnerability in the account deletion endpoint that allows deletion without password re-authentication or secondary verification. Attackers can delete user accounts via session hijacking, CSRF attacks, or parameter tampering, resulting in unauthorized account deletion, data loss, and denial-of-service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS