漏洞概述 漏洞名称: Cap-go - OTP Bypass via Response Manipulation in Email Verification CVE编号: CVE-2026-56073 CWE编号: CWE-345 Insufficient Verification of Data Authenticity CVSS评分: 9.3 严重程度: Critical 发布日期: 6/19/2026 描述: Cap-go在12.128.2版本之前存在一个认证绕过漏洞,攻击者可以通过修改服务器响应来绕过电子邮件验证。攻击者可以拦截OTP验证请求并操纵HTTP响应,以虚假标记验证成功,从而实现未经授权的2FA启用和账户接管。 影响范围 受影响版本: capgo >= 0, < 12.128.2 修复方案 修复版本: 升级到12.128.2或更高版本 参考链接 GHSA Advisory 贡献者 nancyhunter191 CVSS V4 Vector CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N 其他信息 平台: VulnCheck 功能: 提供漏洞情报和威胁情报,帮助优先处理和修复关键漏洞。