CVE-2026-56299
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na obejście uwierzytelniania w punkcie końcowym /build/upload/:jobId/*. Umożliwia to nieautoryzowanym atakującym wywoływanie błędów 500.
Ocena ryzyka
Atakujący zdalni mogą wysyłać żądania OPTIONS, aby obejść middleware uwierzytelniania, co prowadzi do łatwego zalewania żądań i odmowy usługi.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających przed atakami typu denial of service.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authentication bypass vulnerability in the /build/upload/:jobId/* endpoint that allows unauthenticated attackers to trigger consistent 500 errors. Remote attackers can send OPTIONS requests to bypass authentication middleware and invoke tusProxy logic with invalid credentials, enabling trivial request flooding and denial of service.

