PT-2026-56428 · Cap Go · Cap-Go

Zerlyer

·

Publicado

2026-07-08

·

Atualizado

2026-07-08

·

CVE-2026-56246

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Capgo versões anteriores a 12.128.2
Description Existe um controle de acesso quebrado na API de gerenciamento de organizações. Uma chave de API com escopo utilizando limited to orgs herda as permissões do usuário proprietário, permitindo ações destrutivas entre diferentes organizações. Isso ocorre quando um usuário com privilégios administrativos em múltiplas organizações cria uma chave de API em modo de escrita restrita a uma única organização; a chave ainda pode executar operações destrutivas contra outras organizações. O problema originou-se na função de autorização de nível de rota rbac check permission direct(), que prioriza os privilégios do usuário proprietário em vez do escopo limited to orgs da chave de API. Os endpoints de API afetados incluem 'DELETE /organization' e 'DELETE /organization/members'.
Recommendations Atualizar para a versão 12.128.2.

Exploit

Correção

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56246
GHSA-CCM4-HF72-P28M

Produtos afetados

Cap-Go