CVE-2026-56328
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w Capgo przed wersją 12.128.2 pozwala na współistnienie wielu publicznych kanałów dla tej samej aplikacji i platformy, podczas gdy niezidentyfikowane żądania /updates bez domyślnego kanału niejawnie rozstrzygają się na pojedynczy ukryty kanał. Autoryzowany menedżer aplikacji lub kanału może stworzyć niejednoznaczny domyślny stan aktualizacji i po cichu wpływać na to, który pakiet otrzymują nienazwani klienci, naruszając integralność i przewidywalność procesu wydawania.
Ocena ryzyka
Organizacja narażona jest na ryzyko dostarczenia nieprawidłowych lub nieoczekiwanych aktualizacji do klientów, co może prowadzić do problemów z bezpieczeństwem, stabilnością lub zgodnością aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, a także przejrzeć konfigurację kanałów i uprawnień menedżerów, aby zapewnić jednoznaczność domyślnego kanału dla każdej aplikacji i platformy.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 allows multiple public channels for the same app and platform to coexist simultaneously, while unnamed /updates requests without defaultChannel implicitly resolve to a single hidden winner channel. An authorized app or channel manager can create ambiguous default update state and silently influence which bundle unnamed clients receive, breaking release routing integrity and predictability.

