CVE-2026-56319

Nome do Software Vulnerável e Versões Afetadas Capgo versões anteriores a 12.128.2

Descrição Um problema de divulgação de informações existe no endpoint 'GET /statistics/app/:app id'. Isso permite que usuários com chaves de API limitadas por aplicativo identifiquem IDs de aplicativos irmãos existentes através da análise de respostas de erro diferenciais. Especificamente, invasores podem enumerar IDs de aplicativos válidos fora de seu escopo autorizado, distinguindo entre erros 500 PGRST116, que ocorrem para aplicativos inacessíveis, e erros 401, que ocorrem para aplicativos inexistentes, comprometendo assim o isolamento de locatários (tenant isolation).

Recomendações Atualizar para a versão 12.128.2. Restringir o acesso ao endpoint 'GET /statistics/app/:app id' ou ao parâmetro app id para minimizar o risco de enumeração.