PT-2026-51037 · Cap Go · Cap-Go
Judel777
·
Publicado
2026-06-19
·
Atualizado
2026-06-19
·
CVE-2026-56079
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Capgo versões anteriores a 12.128.2
Description
Existe uma falha de bypass de autorização entre locatários (cross-tenant) em endpoints PostgREST. Este problema permite que chaves de API com permissões de leitura de nível de organização acessem segredos de webhook e logs de entrega pertencentes a outros locatários. Um invasor pode consultar os endpoints "/webhooks" e "/webhook deliveries" para exfiltrar segredos de assinatura HMAC (Hash-based Message Authentication Code) e payloads de entrega, o que possibilita a falsificação de eventos de webhook contra organizações vítimas.
Recommendations
Atualize para a versão 12.128.2 ou posterior.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cap-Go