Katalog CVE

CVE-2026-56257

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 umożliwia bezpośrednie modyfikowanie public.apps.owner_org za pomocą PostgREST, omijając proces transfer_app() i tworząc rozdzieloną własność. Atakujący mogą bezpośrednio aktualizować apps.owner_org, pozostawiając app_versions.owner_org bez zmian.

Ocena ryzyka

To może prowadzić do sytuacji, w której klucze starej organizacji zachowują dostęp do danych wersji, podczas gdy klucze nowej organizacji kontrolują rekord aplikacji, co stwarza ryzyko nieautoryzowanego dostępu.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby zlikwidować tę podatność oraz wdrożenie dodatkowych mechanizmów kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 allows direct patching of public.apps.owner_org through PostgREST, bypassing the transfer_app() workflow and creating split-brain ownership. Attackers can directly update apps.owner_org while leaving app_versions.owner_org unchanged, enabling old-org keys to retain access to version data while new-org keys control the app record.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS