CVE-2026-56257
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 umożliwia bezpośrednie modyfikowanie public.apps.owner_org za pomocą PostgREST, omijając proces transfer_app() i tworząc rozdzieloną własność. Atakujący mogą bezpośrednio aktualizować apps.owner_org, pozostawiając app_versions.owner_org bez zmian.
Ocena ryzyka
To może prowadzić do sytuacji, w której klucze starej organizacji zachowują dostęp do danych wersji, podczas gdy klucze nowej organizacji kontrolują rekord aplikacji, co stwarza ryzyko nieautoryzowanego dostępu.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby zlikwidować tę podatność oraz wdrożenie dodatkowych mechanizmów kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 allows direct patching of public.apps.owner_org through PostgREST, bypassing the transfer_app() workflow and creating split-brain ownership. Attackers can directly update apps.owner_org while leaving app_versions.owner_org unchanged, enabling old-org keys to retain access to version data while new-org keys control the app record.

