Katalog CVE

CVE-2026-56224

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Podatność w Capgo console.capgo.app/login przed wersją 12.128.2 polega na akceptowaniu tokenów access_token i refresh_token w parametrach zapytania URL, co umożliwia automatyczne uwierzytelnianie użytkowników bez ich potwierdzenia. Atakujący mogą tworzyć złośliwe linki, które zmuszają ofiary do korzystania z sesji kontrolowanych przez atakującego, narażając tokeny na ujawnienie w historii przeglądarki i logach.

Ocena ryzyka

Ryzyko dla organizacji obejmuje przejęcie sesji użytkowników poprzez socjotechnikę, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i systemów. Tokeny uwierzytelniające mogą być przechwycone z historii przeglądarki lub logów serwera.

Rekomendacja

Zaleca się natychmiastową aktualizację Capgo do wersji 12.128.2 lub nowszej, która usuwa tę podatność. Należy również poinformować użytkowników o ryzyku klikania w podejrzane linki oraz rozważyć wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja źródła żądań.

Oryginalny opis (angielski, źródło NVD)

Capgo console.capgo.app/login before 12.128.2 accepts access_token and refresh_token in URL query parameters, automatically authenticating users without confirmation. Attackers can craft malicious links to force victims into attacker-controlled sessions, exposing tokens in browser history and logs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS