Katalog CVE

CVE-2026-56327

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym enumerację istniejących organizacji poprzez funkcję RPC public.invite_user_to_org. Atakujący mogą wykorzystać klucz API do wywołania funkcji SECURITY DEFINER i na podstawie różnych odpowiedzi błędów (NO_ORG vs NO_RIGHTS) stwierdzić, czy dany identyfikator organizacji istnieje.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku enumeracji dzierżawców (tenant enumeration), co może ujawnić strukturę organizacyjną systemu i ułatwić dalsze ataki ukierunkowane na konkretne organizacje.

Rekomendacja

Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę eliminującą różnice w odpowiedziach błędów dla istniejących i nieistniejących organizacji.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an information disclosure vulnerability in the public.invite_user_to_org RPC function that allows unauthenticated attackers to enumerate organization existence by observing distinct error responses. Attackers can call the SECURITY DEFINER function with a publishable API key to determine if an organization ID exists based on NO_ORG versus NO_RIGHTS responses, enabling tenant enumeration attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS