CVE-2026-56309 in Capgo
Zusammenfassung
von VulDB • 10.07.2026
Capgo vor Version 12.128.2 erzwingt keine Plan-/Quotenbeschränkungen für den Endpunkt /files/upload/attachments, wodurch plangeblockte Apps öffentlich lesbare R2-Objekte erstellen können. Angreifer können beliebige Anhänge mit upload-scoped API-Schlüsseln hochladen, die Plankontrollen umgehen, außerhalb der normalen Bundle-Metadaten persistieren und das Löschen der App überdauern, was zu Missbrauch von Speicherplatz und Bandbreite ermöglicht.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.