CVE-2026-56323
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym /functions/v1/channel_self, która pozwala nieautoryzowanym atakującym na enumerację nazw kanałów niepublicznych oraz określenie istnienia aplikacji i statusu subskrypcji. Atakujący mogą wysyłać żądania GET z dowolnymi parametrami app_id, aby ujawniać wewnętrzne kanały wdrożeniowe.
Ocena ryzyka
Podatność ta umożliwia zdalnym atakującym uzyskanie dostępu do informacji o aplikacjach i statusie subskrypcji bez potrzeby uwierzytelnienia, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, aby ograniczyć dostęp do wrażliwych punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an information disclosure vulnerability in the /functions/v1/channel_self endpoint that allows unauthenticated attackers to enumerate non-public channel names and determine app existence and subscription status. Remote attackers can send GET requests with arbitrary app_id parameters to disclose internal rollout channels, enumerate valid applications across tenants, and leak billing status without authentication or device binding.

