CVE-2026-56320
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 w punkcie końcowym POST /private/create_device pozwala uwierzytelnionemu atakującemu na tworzenie rekordów urządzeń dla aplikacji przy użyciu identyfikatora organizacji innego niż właściciel aplikacji. Brak walidacji parametru org_id powoduje obejście granicy autoryzacji między organizacjami.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane przypisanie urządzeń do aplikacji, co może prowadzić do naruszenia integralności danych, eskalacji uprawnień lub nieprawidłowego zarządzania dostępem.
Rekomendacja
Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę usuwającą podatność.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authorization flaw in POST /private/create_device that accepts a caller-supplied org_id parameter without validating it matches the target app's owner organization. Authenticated attackers can create device records for an application using a foreign organization identifier, bypassing the intended org/app authorization boundary.

