CVE-2026-56330
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punktach końcowych stripe_portal i stripe_checkout, które akceptują niezweryfikowane parametry callbackUrl, successUrl i cancelUrl.
Ocena ryzyka
Zagrożeniem dla organizacji jest możliwość, że uwierzytelnieni atakujący mogą stworzyć złośliwe linki do płatności, które przekierowują użytkowników na kontrolowane przez nich domeny w celu phishingu i zbierania danych uwierzytelniających.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz wprowadzenie walidacji parametrów URL w punktach końcowych.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an open redirect vulnerability in stripe_portal and stripe_checkout endpoints that accept unvalidated callbackUrl, successUrl, and cancelUrl parameters. Authenticated attackers can craft malicious billing URLs to redirect users to attacker-controlled domains for phishing and credential harvesting.

