Katalog CVE

CVE-2026-56242

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 - wyżej niż 17% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera nieautoryzowaną funkcję RPC get_identity_apikey_only, która zwraca identyfikator użytkownika dla podanych kluczy API. To stwarza możliwość potwierdzenia ważności kluczy API oraz ujawnienia tożsamości użytkowników.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do mapowania kluczy API na identyfikatory użytkowników, co prowadzi do ujawnienia danych osobowych, takich jak członkostwo w organizacji oraz adresy e-mail zarządzających.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do funkcji RPC, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an unauthenticated security definer RPC function get_identity_apikey_only that returns the owning user_id for supplied API keys, creating an API key validity oracle and user identity disclosure primitive. Attackers can call this endpoint with valid or invalid API keys to confirm key validity and map keys to user identifiers, then chain results into other exposed RPCs like get_orgs_v6 to retrieve organization membership and management email PII.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS