Katalog CVE

CVE-2026-56331

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 wynika z nieprawidłowej obsługi błędów w punkcie końcowym /private/accept_invitation. Zamiast bezpiecznych błędów 4xx, serwer zwraca kod 500, gdy magic_invite_string jest nieprawidłowy, co pozwala atakującym na ujawnienie szczegółów wewnętrznego przetwarzania.

Ocena ryzyka

Atakujący, mając jedynie klucz publiczny, może wysyłać zniekształcone wartości magic_invite_string, powodując błędy serwera i potencjalnie ujawniając wrażliwe informacje o wewnętrznej architekturze aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę dla tego problemu.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains improper error handling in the /private/accept_invitation endpoint that returns HTTP 500 instead of safe 4xx errors when magic_invite_string is invalid. Attackers can trigger this vulnerability using only the public key by submitting malformed magic_invite_string values to cause server errors and leak internal processing details.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS