Katalog CVE

CVE-2026-56253

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera lukę w kontroli dostępu w funkcji public.get_org_members RPC, która pozwala nieautoryzowanym atakującym na enumerację członków organizacji. Atakujący mogą wykorzystać klucz publiczny sb_publishable_* oraz UUID organizacji do uzyskania wrażliwych informacji o członkach, w tym adresów e-mail, identyfikatorów użytkowników, ról oraz oczekujących zaproszeń.

Ocena ryzyka

Luka ta stwarza ryzyko ujawnienia wrażliwych danych członków organizacji, co może prowadzić do dalszych ataków lub naruszenia prywatności. Organizacje mogą być narażone na utratę zaufania oraz potencjalne konsekwencje prawne.

Rekomendacja

Zaleca się aktualizację oprogramowania Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt dostępu do API, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an improper access control vulnerability in the public.get_org_members RPC function that allows unauthenticated attackers to enumerate organization members. Attackers can invoke the endpoint using only the public sb_publishable_* key and an organization UUID to retrieve sensitive member information including email addresses, user IDs, roles, and pending invitations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS