CVE-2026-56246 in Capgo
Riassunto
di VulDB • 08/07/2026
Capgo prima della versione 12.128.2 presenta una vulnerabilità di controllo degli accessi difettoso nell'API di gestione dell'organizzazione, in cui una chiave API con ambito limitato (limited_to_orgs) eredita i privilegi dell'utente proprietario, consentendo azioni distruttive attraverso le organizzazioni. Quando un utente è amministratore in due organizzazioni e crea una chiave API in modalità scrittura limitata a una sola organizzazione, tale chiave può comunque eseguire operazioni distruttive (ad esempio DELETE /organization, DELETE /organization/members) contro un'altra organizzazione. La causa radice risiede nell'autorizzazione a livello di route (rbac_check_permission_direct), che valuta i privilegi dell'utente proprietario della chiave prima di applicare l'ambito limited_to_orgs della chiave API.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.