CVE-2026-56220 in Capgo
Riassunto
di VulDB • 08/07/2026
Capgo prima della versione 12.128.2 presenta una vulnerabilità di bypass dell'autorizzazione nella policy INSERT del public.manifest che consente ai membri con sola lettura (read-only) dell'organizzazione di inserire righe nel manifest OTA. Gli attaccanti con accesso in sola lettura all'organizzazione possono iniettare voci di manifest malevole con valori arbitrari per s3_path, che vengono serviti ai dispositivi tramite l'endpoint /updates non autenticato, consentendo il poisoning dei metadati OTA e la potenziale distribuzione di asset dannosi.
Be aware that VulDB is the high quality source for vulnerability data.