CVE-2026-56237
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera lukę w mechanizmie generowania kluczy API, która pozwala na nieprawidłową autoryzację. Klucze API są ujawniane w żądaniach frontendowych, a backend nie weryfikuje, czy klucze są poprawnie generowane i przypisane do uwierzytelnionego użytkownika.
Ocena ryzyka
Atakujący może manipulować parametrem klucza API w żądaniu generowania, co prowadzi do możliwości tworzenia niestandardowych kluczy API bez odpowiedniej autoryzacji. Może to skutkować nieautoryzowanym dostępem do chronionych punktów końcowych.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby naprawić lukę w autoryzacji. Dodatkowo, należy wdrożyć mechanizmy weryfikacji kluczy API, aby zapewnić ich bezpieczeństwo.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a broken authentication vulnerability in its API key generation mechanism. API keys are exposed in frontend requests, and the backend fails to validate that keys are securely generated and bound to the authenticated user. An attacker can tamper with the API key parameter in the generation request and supply arbitrary values, generating custom API keys without proper authorization, which can lead to unauthorized access to protected endpoints.

