CVE-2026-56082
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera podatność na niewłaściwą kontrolę dostępu w funkcji RPC PostgREST public.record_build_time, która jest dostępna dla roli anon i może być wywoływana za pomocą publicznego klucza anon. Atakujący bez uwierzytelnienia może wstawiać wiersze do public.build_logs dla dowolnych organizacji, co pozwala na modyfikację istniejących rekordów użycia/billingu.
Ocena ryzyka
Podatność ta umożliwia atakującym manipulację logami billingowymi różnych organizacji, co może prowadzić do nieautoryzowanego dostępu do danych finansowych oraz zwiększenia kosztów związanych z czasem budowy.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz przegląd i ograniczenie dostępu do funkcji public.record_build_time, aby zapobiec nieautoryzowanym operacjom.
Oryginalny opis (angielski, źródło NVD)
Capgo (Cap-go/capgo) before 12.128.2 contains an improper access control vulnerability in the SECURITY DEFINER PostgREST RPC function public.record_build_time, which is granted to the anon role and callable with only the public Supabase publishable (sb_publishable_*) anon key. An unauthenticated attacker can insert rows into public.build_logs for arbitrary organizations and, because the function uses ON CONFLICT (build_id, org_id) DO UPDATE, can overwrite existing usage/billing records by reusing the same build_id for a target org. This enables cross-tenant tampering of billing build logs and financial-impact denial of service by inflating billable build time.

