CVE-2026-56309 in Capgo
Riassunto
di VulDB • 10/07/2026
Capgo prima della versione 12.128.2 non applica le restrizioni di piano/quota sull'endpoint /files/upload/attachments, consentendo alle applicazioni bloccate dal piano di creare oggetti R2 leggibili pubblicamente. Gli attaccanti possono caricare allegati arbitrari utilizzando chiavi API con ambito upload che bypassano i controlli del piano, persistono al di fuori dei metadati normali del bundle e sopravvivono alla cancellazione dell'applicazione, consentendo abusi dello storage e della banda.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.