Katalog CVE

CVE-2026-56318

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 ujawnia informacje poprzez endpoint /private/validate_password_compliance, który zwraca różne odpowiedzi błędów dla nieprawidłowych, nieistniejących i istniejących identyfikatorów organizacji. Nieuwierzytelnieni atakujący mogą wyliczać prawidłowe UUID organizacji, obserwując kody statusu i komunikaty błędów.

Ocena ryzyka

Ryzyko polega na możliwości potwierdzenia istnienia organizacji przez nieuwierzytelnionego atakującego, co może być wykorzystane do dalszych ataków ukierunkowanych na konkretne organizacje.

Rekomendacja

Należy natychmiast zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę eliminującą różnicowanie odpowiedzi błędów.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an information disclosure vulnerability in the /private/validate_password_compliance endpoint that returns different error responses for malformed, non-existent, and existing organization IDs. Unauthenticated attackers can enumerate valid organization UUIDs by observing response status codes and error messages, allowing confirmation of organization existence.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS