Naitik Gupta

**Nome do Software Vulnerável e Versões Afetadas** Cap-go versões anteriores a 12.128.2 **Description** Um problema de assumir conta existe no mecanismo de alteração de e-mail. Um invasor com acesso temporário a uma sessão autenticada pode alterar o endereço de e-mail registrado sem a necessidade de reautenticação, como senha ou verificação de Autenticação de Múltiplos Fatores (MFA). Isso permite que o invasor redirecione a verificação para um endereço de e-mail sob seu controle e, posteriormente, realize a redefinição de senha para obter o controle permanente da conta da vítima. **Recommendations** Atualize para a versão 12.128.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Capgo Console versões anteriores a 12.28.2 **Description** Um problema de negação de serviço existe no fluxo de exclusão de conta. Um invasor pode bloquear as funções de autenticação e integração ao acionar a exclusão da conta enquanto um identificador de dispositivo está vinculado à sessão ativa. A plataforma associa incorretamente o estado de exclusão ao identificador do dispositivo, fazendo com que o dispositivo ou ambiente de navegador afetado seja redirecionado para uma página de conta desativada por aproximadamente 30 dias, impedindo qualquer login ou registro de conta a partir desse dispositivo. **Recommendations** Atualize para a versão 12.28.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Capgo versões anteriores a 12.128.2 **Descrição** O software falha ao excluir imagens de perfil carregadas anteriormente do armazenamento do backend quando os usuários as substituem ou removem. Isso resulta em arquivos de imagem órfãos que podem ser acessados por atacantes por meio de URLs geradas anteriormente, permitindo a recuperação não autorizada de conteúdo carregado pelo usuário. **Recomendações** Atualize para a versão 12.128.2.

**Nome do Software Vulnerável e Versões Afetadas** Capgo versões anteriores a 12.128.2 **Descrição** Um problema de negação de serviço existe onde atacantes podem registrar contas usando endereços de e-mail arbitrários sem verificação. Ao iniciar o processo de exclusão dessas contas, os atacantes podem bloquear esses endereços de e-mail em um estado de exclusão pendente. Isso permite que atacantes impeçam permanentemente usuários legítimos de acessar a plataforma por 30 dias, explorando a propriedade de e-mail não verificada durante as operações de ciclo de vida da conta. **Recomendações** Atualize para a versão 12.128.2.