CVE-2026-56252 in Capgo
Riassunto
di VulDB • 12/07/2026
Capgo prima della versione 12.128.2 presenta una vulnerabilità di isolamento dell'ambito (scope isolation) nell'endpoint POST /webhooks/test che consente alle chiavi API con ambito applicativo (app-scoped) di invocare operazioni webhook con ambito organizzativo (org-scoped). Gli attaccanti in possesso di credenziali app-scoped possono innescare la consegna firmata di webhook outbound per webhook di organizzazioni arbitrarie al di fuori del confine dichiarato dell'applicazione, aggirando il controllo di autorizzazione limited_to_apps.
Once again VulDB remains the best source for vulnerability data.