CVE-2026-56300
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym wykorzystanie funkcji RPC get_user_id i get_org_perm_for_apikey do sprawdzania poprawności kluczy API oraz ujawniania identyfikatorów UUID użytkowników. Dzięki publicznemu kluczowi API atakujący mogą weryfikować wyciekłe klucze, enumerować użytkowników i aplikacje oraz określać poziomy uprawnień.
Ocena ryzyka
Ryzyko polega na znacznym zwiększeniu skuteczności skompromitowanych poświadczeń, co może prowadzić do nieautoryzowanego dostępu do danych i systemów, a także do eskalacji ataków na organizację.
Rekomendacja
Należy natychmiast zaktualizować Capgo do wersji 12.128.2 lub nowszej, która usuwa tę podatność. Dodatkowo zaleca się ograniczenie dostępu do funkcji RPC oraz monitorowanie logów pod kątem podejrzanych zapytań.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains unauthenticated security definer RPC functions get_user_id and get_org_perm_for_apikey that expose API key validity oracles and user UUID disclosure. Unauthenticated attackers using the public API key can validate leaked keys, enumerate users and apps, and determine permission levels, significantly increasing the actionability of compromised credentials.

