Katalog CVE

CVE-2026-56237

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera lukę w mechanizmie generowania kluczy API, która pozwala na nieprawidłową autoryzację. Klucze API są ujawniane w żądaniach frontendowych, a backend nie weryfikuje, czy klucze są poprawnie generowane i przypisane do uwierzytelnionego użytkownika.

Ocena ryzyka

Atakujący może manipulować parametrem klucza API w żądaniu generowania, co prowadzi do możliwości tworzenia niestandardowych kluczy API bez odpowiedniej autoryzacji. Może to skutkować nieautoryzowanym dostępem do chronionych punktów końcowych.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby naprawić lukę w autoryzacji. Dodatkowo, należy wdrożyć mechanizmy weryfikacji kluczy API, aby zapewnić ich bezpieczeństwo.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a broken authentication vulnerability in its API key generation mechanism. API keys are exposed in frontend requests, and the backend fails to validate that keys are securely generated and bound to the authenticated user. An attacker can tamper with the API key parameter in the generation request and supply arbitrary values, generating custom API keys without proper authorization, which can lead to unauthorized access to protected endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS