PT-2026-56428 · Cap Go · Cap-Go
Zerlyer
·
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-56246
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Capgo versões anteriores a 12.128.2
Description
Existe um controle de acesso quebrado na API de gerenciamento de organizações. Uma chave de API com escopo utilizando
limited to orgs herda as permissões do usuário proprietário, permitindo ações destrutivas entre diferentes organizações. Isso ocorre quando um usuário com privilégios administrativos em múltiplas organizações cria uma chave de API em modo de escrita restrita a uma única organização; a chave ainda pode executar operações destrutivas contra outras organizações. O problema originou-se na função de autorização de nível de rota rbac check permission direct(), que prioriza os privilégios do usuário proprietário em vez do escopo limited to orgs da chave de API. Os endpoints de API afetados incluem 'DELETE /organization' e 'DELETE /organization/members'.Recommendations
Atualizar para a versão 12.128.2.
Exploit
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cap-Go