CVE-2026-56246 in Capgoinformazioni

Riassunto

di VulDB • 08/07/2026

Capgo prima della versione 12.128.2 presenta una vulnerabilità di controllo degli accessi difettoso nell'API di gestione dell'organizzazione, in cui una chiave API con ambito limitato (limited_to_orgs) eredita i privilegi dell'utente proprietario, consentendo azioni distruttive attraverso le organizzazioni. Quando un utente è amministratore in due organizzazioni e crea una chiave API in modalità scrittura limitata a una sola organizzazione, tale chiave può comunque eseguire operazioni distruttive (ad esempio DELETE /organization, DELETE /organization/members) contro un'altra organizzazione. La causa radice risiede nell'autorizzazione a livello di route (rbac_check_permission_direct), che valuta i privilegi dell'utente proprietario della chiave prima di applicare l'ambito limited_to_orgs della chiave API.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

19/06/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!