CVE-2026-56316
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Cap-go przed wersją 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym OPTIONS /build/upload/:jobId/*. Umożliwia to nieautoryzowanym atakującym enumerację ważnych identyfikatorów zadań budowy poprzez różnice w odpowiedziach.
Ocena ryzyka
Atakujący mogą bez uwierzytelnienia rozróżniać ważne identyfikatory zadań od nieważnych, co prowadzi do nieautoryzowanego ruchu i potencjalnego zużycia zasobów.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby zlikwidować tę podatność oraz monitorowanie ruchu do punktu końcowego w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
Cap-go before 12.128.2 contains an information disclosure vulnerability in the OPTIONS /build/upload/:jobId/* endpoint that allows unauthenticated attackers to enumerate valid builder job IDs through observable response discrepancies. Attackers can probe the endpoint without authentication to distinguish valid job IDs from invalid ones and generate sustained unauthenticated traffic for resource consumption.

