CVE-2026-56221
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Cap-go przed wersją 12.128.2 zawiera wiele podatności na wstrzykiwanie SQL w pliku cloudflare.ts, gdzie wartości kontrolowane przez użytkownika z ciał żądań API są interpolowane bezpośrednio do ciągów zapytań SQL bez sanitizacji lub parametryzacji. Użytkownicy z uprawnieniami do odczytu klucza API mogą wstrzykiwać dowolny SQL przez parametry deviceIds, search, version_name, cursor i actions.
Ocena ryzyka
Podatność ta pozwala uwierzytelnionym użytkownikom na dostęp do danych analitycznych innych użytkowników lub aplikacji, co może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do wersji Cap-go 12.128.2 lub nowszej oraz wdrożenie odpowiednich mechanizmów sanitizacji i parametryzacji zapytań SQL.
Oryginalny opis (angielski, źródło NVD)
Cap-go before 12.128.2 contains multiple SQL injection vulnerabilities in cloudflare.ts where user-controlled values from API request bodies are interpolated directly into SQL query strings without sanitization or parameterization. Authenticated users with read-level API key permissions can inject arbitrary SQL through deviceIds, search, version_name, cursor, and actions parameters to access analytics data belonging to other users or applications.

