CVE-2026-56332
ŚrednieCVSS 4.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punkcie końcowym confirm-signup, co pozwala atakującym na przekierowywanie użytkowników do dowolnych zewnętrznych stron internetowych. Parametr confirmation_url nie jest walidowany, co umożliwia tworzenie złośliwych linków do ataków phishingowych i zbierania danych uwierzytelniających.
Ocena ryzyka
Podatność ta stwarza ryzyko dla użytkowników, którzy mogą zostać oszukani i przekierowani na fałszywe strony, co prowadzi do kradzieży danych osobowych i uwierzytelniających. Organizacje mogą ponieść straty finansowe oraz reputacyjne w wyniku takich ataków.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy walidacji parametrów URL w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an open redirect vulnerability in the confirm-signup endpoint that allows attackers to redirect users to arbitrary external websites. The confirmation_url parameter is not validated, enabling attackers to craft malicious links for phishing and credential harvesting attacks.

