CVE-2026-56073
🟠 Łataj w tym tygodniu
Obejście uwierzytelnienia w Cap-go umożliwia przejęcie konta przez manipulację odpowiedziami serwera.
CVSS
9.4
EPSS
0.2%
Exploit
none
Vendor
Opis źródłowy (NVD)
Cap-go before 12.128.2 contains an authentication bypass vulnerability in OTP verification that allows attackers to bypass email verification by modifying server responses. Attackers can intercept OTP verification requests and manipulate HTTP responses to falsely mark verification successful, enabling unauthorized 2FA enablement and account takeover.
auth-bypass
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.4 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.2% |
| Opublikowano (NVD) | 2026-06-19 22:16:17 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-22 19:49:09 UTC |
Referencje
- https://github.com/Cap-go/capgo/security/advisories/GHSA-x2gq-85v8-j9v4 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/cap-go-otp-bypass-via-response-manipulation-in-email-verification (disclosure@vulncheck.com)