CVE-2026-56331
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 wynika z nieprawidłowej obsługi błędów w punkcie końcowym /private/accept_invitation. Zamiast bezpiecznych błędów 4xx, serwer zwraca kod 500, gdy magic_invite_string jest nieprawidłowy, co pozwala atakującym na ujawnienie szczegółów wewnętrznego przetwarzania.
Ocena ryzyka
Atakujący, mając jedynie klucz publiczny, może wysyłać zniekształcone wartości magic_invite_string, powodując błędy serwera i potencjalnie ujawniając wrażliwe informacje o wewnętrznej architekturze aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę dla tego problemu.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains improper error handling in the /private/accept_invitation endpoint that returns HTTP 500 instead of safe 4xx errors when magic_invite_string is invalid. Attackers can trigger this vulnerability using only the public key by submitting malformed magic_invite_string values to cause server errors and leak internal processing details.

