Katalog CVE

CVE-2026-56300

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym wykorzystanie funkcji RPC get_user_id i get_org_perm_for_apikey do sprawdzania poprawności kluczy API oraz ujawniania identyfikatorów UUID użytkowników. Dzięki publicznemu kluczowi API atakujący mogą weryfikować wyciekłe klucze, enumerować użytkowników i aplikacje oraz określać poziomy uprawnień.

Ocena ryzyka

Ryzyko polega na znacznym zwiększeniu skuteczności skompromitowanych poświadczeń, co może prowadzić do nieautoryzowanego dostępu do danych i systemów, a także do eskalacji ataków na organizację.

Rekomendacja

Należy natychmiast zaktualizować Capgo do wersji 12.128.2 lub nowszej, która usuwa tę podatność. Dodatkowo zaleca się ograniczenie dostępu do funkcji RPC oraz monitorowanie logów pod kątem podejrzanych zapytań.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains unauthenticated security definer RPC functions get_user_id and get_org_perm_for_apikey that expose API key validity oracles and user UUID disclosure. Unauthenticated attackers using the public API key can validate leaked keys, enumerate users and apps, and determine permission levels, significantly increasing the actionability of compromised credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS