CVE-2026-56310
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Cap-go przed wersją 12.128.2 zawiera lukę w autoryzacji w punkcie końcowym GET /organization/members, która pozwala kluczom API ograniczonym do organizacji na obejście ograniczeń limited_to_orgs. Napastnicy z takimi kluczami mogą uzyskać dostęp do danych członkostwa z organizacji spoza przypisanego zakresu.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych członków organizacji, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę lukę oraz przegląd polityki zarządzania kluczami API w celu ograniczenia dostępu do danych organizacji.
Oryginalny opis (angielski, źródło NVD)
Cap-go before 12.128.2 contains an authorization bypass vulnerability in the GET /organization/members endpoint that allows org-limited API keys to bypass limited_to_orgs restrictions. Attackers with org-limited API keys can read membership data including uid, email, image_url, role, and is_tmp from organizations outside their assigned scope.

