CVE-2026-56224
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w Capgo console.capgo.app/login przed wersją 12.128.2 polega na akceptowaniu tokenów access_token i refresh_token w parametrach zapytania URL, co umożliwia automatyczne uwierzytelnianie użytkowników bez ich potwierdzenia. Atakujący mogą tworzyć złośliwe linki, które zmuszają ofiary do korzystania z sesji kontrolowanych przez atakującego, narażając tokeny na ujawnienie w historii przeglądarki i logach.
Ocena ryzyka
Ryzyko dla organizacji obejmuje przejęcie sesji użytkowników poprzez socjotechnikę, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i systemów. Tokeny uwierzytelniające mogą być przechwycone z historii przeglądarki lub logów serwera.
Rekomendacja
Zaleca się natychmiastową aktualizację Capgo do wersji 12.128.2 lub nowszej, która usuwa tę podatność. Należy również poinformować użytkowników o ryzyku klikania w podejrzane linki oraz rozważyć wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja źródła żądań.
Oryginalny opis (angielski, źródło NVD)
Capgo console.capgo.app/login before 12.128.2 accepts access_token and refresh_token in URL query parameters, automatically authenticating users without confirmation. Attackers can craft malicious links to force victims into attacker-controlled sessions, exposing tokens in browser history and logs.

