Katalog CVE

CVE-2026-56322

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /updates, który rozwiązuje parametr defaultChannel przed nałożeniem ograniczeń prywatności. Umożliwia to atakującym enumerację prywatnych kanałów oraz ujawnienie stanu wersji i konfiguracji.

Ocena ryzyka

Atakujący mogą zidentyfikować prywatne kanały oraz uzyskać szczegóły dotyczące wersji i konfiguracji platformy, co może prowadzić do dalszych ataków na system.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków ochrony prywatności dla punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an information disclosure vulnerability in the unauthenticated /updates endpoint that resolves the defaultChannel parameter before enforcing privacy restrictions, allowing attackers to enumerate private channels and leak version/config state. Unauthenticated attackers can probe private channel names and distinguish valid channels from nonexistent ones based on response differences, revealing assigned bundle versions and platform-specific configuration details.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS