Katalog CVE

CVE-2026-56332

ŚrednieCVSS 4.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punkcie końcowym confirm-signup, co pozwala atakującym na przekierowywanie użytkowników do dowolnych zewnętrznych stron internetowych. Parametr confirmation_url nie jest walidowany, co umożliwia tworzenie złośliwych linków do ataków phishingowych i zbierania danych uwierzytelniających.

Ocena ryzyka

Podatność ta stwarza ryzyko dla użytkowników, którzy mogą zostać oszukani i przekierowani na fałszywe strony, co prowadzi do kradzieży danych osobowych i uwierzytelniających. Organizacje mogą ponieść straty finansowe oraz reputacyjne w wyniku takich ataków.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy walidacji parametrów URL w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an open redirect vulnerability in the confirm-signup endpoint that allows attackers to redirect users to arbitrary external websites. The confirmation_url parameter is not validated, enabling attackers to craft malicious links for phishing and credential harvesting attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS