CVE-2026-56212
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera błąd w logice uwierzytelniania, który pozwala użytkownikowi z uprawnieniami do zarządzania ustawieniami bezpieczeństwa zespołu lub organizacji na włączenie obowiązkowej dwuetapowej weryfikacji dla wszystkich członków zespołu bez wcześniejszego włączenia 2FA na własnym koncie.
Ocena ryzyka
Brak weryfikacji statusu 2FA inicjatora przed zmianą polityki prowadzi do niespójnego egzekwowania bezpieczeństwa, co może skutkować nadużyciami administracyjnymi oraz ryzykiem zablokowania członków zespołu.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej oraz wprowadzenie dodatkowych kontroli w celu zapewnienia, że użytkownicy muszą najpierw włączyć 2FA na swoich kontach przed wprowadzeniem zmian w polityce bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authentication logic flaw: a user with permission to manage team or organization security settings can enable mandatory two-factor authentication for all team members without first enabling 2FA on their own account. The application fails to verify the initiator's 2FA status before allowing the policy change, resulting in inconsistent security enforcement, potential administrative misuse, and lockout risk for team members.

