Katalog CVE

CVE-2026-56307

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Cap-go przed wersją 12.128.12 zawiera podatność na uszkodzoną paginację kursorów w punkcie końcowym /private/devices, co pozwala uwierzytelnionym atakującym na wywołanie pętli zduplikowanych stron i uniemożliwienie dostępu do późniejszych wierszy.

Ocena ryzyka

Atakujący z dostępem app.read_devices mogą wykorzystać tę podatność do wywołania nieskończonych pętli paginacji, co prowadzi do problemów z przetwarzaniem w ramach zarządzania urządzeniami.

Rekomendacja

Zaleca się aktualizację do wersji Cap-go 12.128.12 lub nowszej, aby usunąć tę podatność oraz przeglądanie i ograniczenie dostępu do punktu końcowego /private/devices.

Oryginalny opis (angielski, źródło NVD)

Cap-go before 12.128.12 contains a broken cursor pagination vulnerability in the /private/devices endpoint on the Cloudflare/workerd path that allows authenticated attackers to cause duplicate-page loops and make later rows unreachable. Attackers with app.read_devices access can exploit non-advancing cursor filters to trigger infinite pagination loops, prevent dataset traversal, and cause repeated processing in device-management workflows.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS