Katalog CVE

CVE-2026-56222

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w POST /private/role_bindings, która nie weryfikuje własności app_id podczas tworzenia powiązań ról w zakresie aplikacji. Atakujący z uprawnieniami administracyjnymi w jednej organizacji może tworzyć powiązania ról, które celują w aplikacje należące do innych organizacji.

Ocena ryzyka

Luka ta pozwala na nieautoryzowany dostęp do aplikacji ofiary, co może prowadzić do nieautoryzowanego odczytu i modyfikacji danych. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę lukę. Dodatkowo, należy przeprowadzić audyt uprawnień administracyjnych w organizacji.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authorization bypass vulnerability in POST /private/role_bindings that fails to verify app_id ownership during app-scoped role binding creation. An attacker with administrative privileges in one organization can create role bindings targeting applications owned by other organizations, enabling unauthorized read and modification of victim applications.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS