Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-56308

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-640 Mecanismo débil para recuperación de contraseñas olvidadas
Fecha de publicación:
12/07/2026
Última modificación:
12/07/2026

Descripción

*** Pendiente de traducción *** Capgo before 12.128.2 allows email address changes without requiring current password re-authentication or verification of the existing email address. An attacker with access to a valid session cookie or authenticated browser can change the account email to gain control of account recovery and bypass multi-factor authentication protections.