CVE-2026-56322
WysokieCVSS 7.5Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /updates, który rozwiązuje parametr defaultChannel przed nałożeniem ograniczeń prywatności. Umożliwia to atakującym enumerację prywatnych kanałów oraz ujawnienie stanu wersji i konfiguracji.
Ocena ryzyka
Atakujący mogą zidentyfikować prywatne kanały oraz uzyskać szczegóły dotyczące wersji i konfiguracji platformy, co może prowadzić do dalszych ataków na system.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków ochrony prywatności dla punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an information disclosure vulnerability in the unauthenticated /updates endpoint that resolves the defaultChannel parameter before enforcing privacy restrictions, allowing attackers to enumerate private channels and leak version/config state. Unauthenticated attackers can probe private channel names and distinguish valid channels from nonexistent ones based on response differences, revealing assigned bundle versions and platform-specific configuration details.

