Katalog CVE

CVE-2026-56337

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w funkcji public.exist_app_v2 RPC, która pozwala nieautoryzowanym atakującym na enumerację app_id poprzez wywołanie POST /rest/v1/rpc/exist_app_v2 z dowolnymi parametrami appid.

Ocena ryzyka

Zdalni atakujący mogą wykorzystać tę funkcję do ustalenia, czy konkretne app_id istnieją w tabeli public.apps, co prowadzi do enumeracji aplikacji między najemcami oraz naruszeń prywatności.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do funkcji RPC dla nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an information disclosure vulnerability in the public.exist_app_v2 RPC function that allows unauthenticated attackers to enumerate app_ids by calling POST /rest/v1/rpc/exist_app_v2 with arbitrary appid parameters. Remote attackers can exploit this SECURITY DEFINER function to determine whether specific app_ids exist in the public.apps table, enabling cross-tenant app enumeration and privacy violations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS