CVE-2026-56318
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 ujawnia informacje poprzez endpoint /private/validate_password_compliance, który zwraca różne odpowiedzi błędów dla nieprawidłowych, nieistniejących i istniejących identyfikatorów organizacji. Nieuwierzytelnieni atakujący mogą wyliczać prawidłowe UUID organizacji, obserwując kody statusu i komunikaty błędów.
Ocena ryzyka
Ryzyko polega na możliwości potwierdzenia istnienia organizacji przez nieuwierzytelnionego atakującego, co może być wykorzystane do dalszych ataków ukierunkowanych na konkretne organizacje.
Rekomendacja
Należy natychmiast zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę eliminującą różnicowanie odpowiedzi błędów.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an information disclosure vulnerability in the /private/validate_password_compliance endpoint that returns different error responses for malformed, non-existent, and existing organization IDs. Unauthenticated attackers can enumerate valid organization UUIDs by observing response status codes and error messages, allowing confirmation of organization existence.

