Katalog CVE

CVE-2026-56081

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Cap-go w wersjach przed 12.128.2 zawiera błąd w logice uwierzytelniania, który pozwala atakującemu zarejestrować i kontrolować konto powiązane z adresem e-mail ofiary przed jego weryfikacją. Włączenie uwierzytelniania dwuskładnikowego na wstępnie zarejestrowanym koncie umożliwia atakującemu przejęcie kontroli nad kontem ofiary.

Ocena ryzyka

Atakujący może uzyskać dostęp do konta ofiary, co prowadzi do możliwości odczytu i modyfikacji jego stanu oraz egzekwowania polityk na poziomie organizacji, podczas gdy prawowity użytkownik zostaje pozbawiony dostępu do swojego konta.

Rekomendacja

Zaleca się aktualizację Cap-go do wersji 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować konta użytkowników pod kątem nieautoryzowanych zmian.

Oryginalny opis (angielski, źródło NVD)

Cap-go before 12.128.2 contains an authentication logic flaw that lets an attacker register and control an account bound to a victim's email address before that email is verified. By enabling two-factor authentication on the pre-registered account, the attacker gains control over the account claimed under the victim's identity, allowing them to read and modify its state and enforce organization-level policies, while the legitimate user is denied access to the account tied to their own email.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS