Katalog CVE

CVE-2026-56295

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych zarządzania webhookami, która pozwala na ominięcie polityki wymogu wygasania kluczy API. Funkcja checkWebhookPermission nie wywołuje apikeyHasOrgRightWithPolicy, co umożliwia atakującym z przestarzałymi kluczami nie wygasającymi na listowanie, tworzenie i usuwanie webhooków.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do webhooków, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz przegląd polityki zarządzania kluczami API, aby zapewnić ich wygasanie.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authorization bypass vulnerability in webhook management endpoints that allows non-expiring API keys to bypass the require_apikey_expiration organization policy. The checkWebhookPermission function fails to call apikeyHasOrgRightWithPolicy, enabling attackers with legacy non-expiring keys to list, create, and delete webhooks despite explicit organizational policy requiring key expiration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS