CVE-2026-56324
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na obejście limitu szybkości w punkcie końcowym channel_self, co pozwala atakującym na ominięcie ograniczeń poprzez rotację parametru device_id kontrolowanego przez użytkownika.
Ocena ryzyka
Atakujący mogą wysyłać wiele żądań na sekundę, zmieniając wartości device_id, co prowadzi do zalania tabeli channel_devices i wyczerpania zasobów bazy danych.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów ograniczających liczbę żądań.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a rate limit bypass vulnerability in the channel_self endpoint that allows attackers to circumvent rate limiting by rotating the user-controlled device_id parameter. Attackers can send multiple requests per second by changing device_id values to flood the channel_devices table and cause database exhaustion.

