CVE-2026-56295
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych zarządzania webhookami, która pozwala na ominięcie polityki wymogu wygasania kluczy API. Funkcja checkWebhookPermission nie wywołuje apikeyHasOrgRightWithPolicy, co umożliwia atakującym z przestarzałymi kluczami nie wygasającymi na listowanie, tworzenie i usuwanie webhooków.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do webhooków, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz przegląd polityki zarządzania kluczami API, aby zapewnić ich wygasanie.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authorization bypass vulnerability in webhook management endpoints that allows non-expiring API keys to bypass the require_apikey_expiration organization policy. The checkWebhookPermission function fails to call apikeyHasOrgRightWithPolicy, enabling attackers with legacy non-expiring keys to list, create, and delete webhooks despite explicit organizational policy requiring key expiration.

