つみかさね

CVE-2026-56241

High(8.3)

CapgoのRBAC降格後権限残存 CVE-2026-56241:影響範囲と対応方法

公開日: 2026-07-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
CapgoCap-go12.128.2未満

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Capgoのバージョンを確認する(12.128.2未満なら影響あり)
  2. 2過去にsuper_adminから降格したユーザーの権限を確認する
  3. 3Capgo 12.128.2以降へアップデートする

影響対象

Capgo 12.128.2未満の利用者

補足

  • -アップデート後、既存ユーザーの権限が正しく反映されているか確認することを推奨します
CVECapgo権限昇格RBACモバイルアプリ

30秒で判断

対応すべき人:

  • Capgo 12.128.2未満を使用している
  • 過去にsuper_adminロールから降格したユーザーが存在する
  • 組織内で複数のユーザーが管理権限を持つ

対応不要な人:

  • Capgo 12.128.2以降を使用中
  • Capgoを使用していない
  • 自分のみがsuper_adminで、降格した元super_adminが存在しない

確認方法: Capgo管理画面でユーザーロールの変更履歴を確認し、降格済みユーザーの現在の権限を確認してください。


概要

Capgo(モバイルアプリのライブアップデートサービス)のRBAC実装に脆弱性があります。ユーザーがsuper_adminロールから降格される際、org_users.user_rightカラムがクリアされないため、降格したユーザーが以下の権限を保持し続けます。

  • delete_non_compliant_bundles RPC(非準拠バンドルの一括削除)
  • count_non_compliant_bundles RPC(非準拠バンドルの数え上げ)

これにより、降格したはずの元super_adminが組織全体のバンドルを引き続き削除できる状態が続きます。


CVSSベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionNone
ScopeUnchanged
ConfidentialityNone
IntegrityHigh
AvailabilityHigh
CVSSスコア8.3(High)

影響を受けるソフトウェア

製品ベンダー影響バージョン
CapgoCap-go12.128.2未満

修正バージョンと回避策

修正バージョン: Capgo 12.128.2以降

回避策(アップデートが困難な場合):

  • 元super_adminユーザーのアカウントを一時的に無効化する
  • ユーザーロール変更後に権限が正しく反映されているか手動確認する

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。