Katalog CVE

CVE-2026-56225

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Capgo przed wersją 12.128.2 zawiera podatność na obejście autoryzacji w swoich handlerach zarządzania kluczami API (get/put/delete/post). Klucze API utworzone w trybie=all, ale ograniczone do jednej aplikacji przez limited_to_apps, są sprawdzane tylko pod kątem limited_to_orgs, co pozwala na manipulację kluczami API należącymi do tego samego konta.

Ocena ryzyka

Podatność ta umożliwia aplikacjom z ograniczonym zakresem dostęp do kluczy API, które nie są przypisane do ich deklarowanego zakresu, co może prowadzić do nieautoryzowanego dostępu i manipulacji danymi konta.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kluczy API i ich uprawnień w celu zapewnienia bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authorization bypass vulnerability in its public API key management handlers (get/put/delete/post). API keys created with mode=all but restricted to a single app via limited_to_apps are only checked for limited_to_orgs and not for limited_to_apps, so an app-scoped key can enumerate, update, and delete sibling API keys belonging to the same account that are outside its declared app scope, enabling tampering with account-level credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS