CVE-2026-56295

Nome do Software Vulnerável e Versões Afetadas Capgo versões anteriores a 12.128.2

Descrição Existe uma falha de bypass de autorização nos endpoints de gerenciamento de webhooks. Este problema permite que chaves de API sem expiração ignorem a política organizacional require apikey expiration porque a função checkWebhookPermission() não chama a apikeyHasOrgRightWithPolicy. Consequentemente, atacantes com chaves legadas sem expiração podem listar, criar e excluir webhooks, mesmo quando uma política organizacional exige explicitamente a expiração da chave.

Recomendações Atualize para a versão 12.128.2 ou posterior.