Katalog CVE

CVE-2026-56320

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 w punkcie końcowym POST /private/create_device pozwala uwierzytelnionemu atakującemu na tworzenie rekordów urządzeń dla aplikacji przy użyciu identyfikatora organizacji innego niż właściciel aplikacji. Brak walidacji parametru org_id powoduje obejście granicy autoryzacji między organizacjami.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane przypisanie urządzeń do aplikacji, co może prowadzić do naruszenia integralności danych, eskalacji uprawnień lub nieprawidłowego zarządzania dostępem.

Rekomendacja

Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę usuwającą podatność.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authorization flaw in POST /private/create_device that accepts a caller-supplied org_id parameter without validating it matches the target app's owner organization. Authenticated attackers can create device records for an application using a foreign organization identifier, bypassing the intended org/app authorization boundary.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS