CVE-2026-56327
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym enumerację istniejących organizacji poprzez funkcję RPC public.invite_user_to_org. Atakujący mogą wykorzystać klucz API do wywołania funkcji SECURITY DEFINER i na podstawie różnych odpowiedzi błędów (NO_ORG vs NO_RIGHTS) stwierdzić, czy dany identyfikator organizacji istnieje.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku enumeracji dzierżawców (tenant enumeration), co może ujawnić strukturę organizacyjną systemu i ułatwić dalsze ataki ukierunkowane na konkretne organizacje.
Rekomendacja
Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę eliminującą różnice w odpowiedziach błędów dla istniejących i nieistniejących organizacji.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an information disclosure vulnerability in the public.invite_user_to_org RPC function that allows unauthenticated attackers to enumerate organization existence by observing distinct error responses. Attackers can call the SECURITY DEFINER function with a publishable API key to determine if an organization ID exists based on NO_ORG versus NO_RIGHTS responses, enabling tenant enumeration attacks.

