CVE-2026-56307
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Cap-go przed wersją 12.128.12 zawiera podatność na uszkodzoną paginację kursorów w punkcie końcowym /private/devices, co pozwala uwierzytelnionym atakującym na wywołanie pętli zduplikowanych stron i uniemożliwienie dostępu do późniejszych wierszy.
Ocena ryzyka
Atakujący z dostępem app.read_devices mogą wykorzystać tę podatność do wywołania nieskończonych pętli paginacji, co prowadzi do problemów z przetwarzaniem w ramach zarządzania urządzeniami.
Rekomendacja
Zaleca się aktualizację do wersji Cap-go 12.128.12 lub nowszej, aby usunąć tę podatność oraz przeglądanie i ograniczenie dostępu do punktu końcowego /private/devices.
Oryginalny opis (angielski, źródło NVD)
Cap-go before 12.128.12 contains a broken cursor pagination vulnerability in the /private/devices endpoint on the Cloudflare/workerd path that allows authenticated attackers to cause duplicate-page loops and make later rows unreachable. Attackers with app.read_devices access can exploit non-advancing cursor filters to trigger infinite pagination loops, prevent dataset traversal, and cause repeated processing in device-management workflows.

