Katalog CVE

CVE-2026-56328

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 pozwala na współistnienie wielu publicznych kanałów dla tej samej aplikacji i platformy, podczas gdy niezidentyfikowane żądania /updates bez domyślnego kanału niejawnie rozstrzygają się na pojedynczy ukryty kanał. Autoryzowany menedżer aplikacji lub kanału może stworzyć niejednoznaczny domyślny stan aktualizacji i po cichu wpływać na to, który pakiet otrzymują nienazwani klienci, naruszając integralność i przewidywalność procesu wydawania.

Ocena ryzyka

Organizacja narażona jest na ryzyko dostarczenia nieprawidłowych lub nieoczekiwanych aktualizacji do klientów, co może prowadzić do problemów z bezpieczeństwem, stabilnością lub zgodnością aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, a także przejrzeć konfigurację kanałów i uprawnień menedżerów, aby zapewnić jednoznaczność domyślnego kanału dla każdej aplikacji i platformy.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 allows multiple public channels for the same app and platform to coexist simultaneously, while unnamed /updates requests without defaultChannel implicitly resolve to a single hidden winner channel. An authorized app or channel manager can create ambiguous default update state and silently influence which bundle unnamed clients receive, breaking release routing integrity and predictability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS