Katalog CVE

CVE-2026-56316

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Cap-go przed wersją 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym OPTIONS /build/upload/:jobId/*. Umożliwia to nieautoryzowanym atakującym enumerację ważnych identyfikatorów zadań budowy poprzez różnice w odpowiedziach.

Ocena ryzyka

Atakujący mogą bez uwierzytelnienia rozróżniać ważne identyfikatory zadań od nieważnych, co prowadzi do nieautoryzowanego ruchu i potencjalnego zużycia zasobów.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby zlikwidować tę podatność oraz monitorowanie ruchu do punktu końcowego w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

Cap-go before 12.128.2 contains an information disclosure vulnerability in the OPTIONS /build/upload/:jobId/* endpoint that allows unauthenticated attackers to enumerate valid builder job IDs through observable response discrepancies. Attackers can probe the endpoint without authentication to distinguish valid job IDs from invalid ones and generate sustained unauthenticated traffic for resource consumption.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS