Katalog CVE

CVE-2026-56232

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 nie egzekwuje ograniczeń limited_to_orgs i limited_to_apps dla subkluczy przekazywanych za pomocą nagłówka x-limited-key-id w funkcji middlewareKey. Atakujący mogą obejść ograniczenia zakresu subkluczy, odwołując się do własnych subkluczy.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do zasobów, ponieważ wszystkie obsługiwane trasy mogą używać nieograniczonego klucza nadrzędnego zamiast odpowiedniego subklucza.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby zapewnić prawidłowe egzekwowanie ograniczeń dla subkluczy.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 fails to enforce limited_to_orgs and limited_to_apps constraints on subkeys provided via x-limited-key-id header in middlewareKey function. Attackers can bypass subkey scope restrictions by referencing their own subkeys, causing all downstream route handlers to use the unrestricted parent key instead of the scoped subkey.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS