Katalog CVE

CVE-2026-56310

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Cap-go przed wersją 12.128.2 zawiera lukę w autoryzacji w punkcie końcowym GET /organization/members, która pozwala kluczom API ograniczonym do organizacji na obejście ograniczeń limited_to_orgs. Napastnicy z takimi kluczami mogą uzyskać dostęp do danych członkostwa z organizacji spoza przypisanego zakresu.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych członków organizacji, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę lukę oraz przegląd polityki zarządzania kluczami API w celu ograniczenia dostępu do danych organizacji.

Oryginalny opis (angielski, źródło NVD)

Cap-go before 12.128.2 contains an authorization bypass vulnerability in the GET /organization/members endpoint that allows org-limited API keys to bypass limited_to_orgs restrictions. Attackers with org-limited API keys can read membership data including uid, email, image_url, role, and is_tmp from organizations outside their assigned scope.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS