CVE-2026-56234
ŚrednieCVSS 5.3Streszczenie
Capgo przed wersją 12.128.2 zawiera podatność na walidację poświadczeń w punkcie końcowym POST /functions/v1/private/validate_password_compliance, który można wywołać tylko za pomocą publicznego klucza Supabase bez uwierzytelnienia. Punkt końcowy jest zgodny z CORS i nie ma ograniczeń dotyczących liczby żądań, co umożliwia atakującym przeprowadzanie ataków typu password spraying i credential stuffing.
Ocena ryzyka
Podatność ta stwarza ryzyko kompromitacji kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych w organizacji. Atakujący mogą wykorzystać tę lukę do masowego testowania haseł i przejmowania kont.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie liczby żądań i wprowadzenie wymogu uwierzytelnienia dla punktu końcowego. Należy również monitorować logi w celu wykrywania podejrzanej aktywności.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a credential validation vulnerability in the POST /functions/v1/private/validate_password_compliance endpoint that is callable using only the public Supabase key without authentication. The endpoint is CORS-permissive with wildcard origin allowance and lacks rate limiting, enabling attackers to perform password spraying and credential stuffing attacks to compromise user accounts.

