Katalog CVE

CVE-2026-56082

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera podatność na niewłaściwą kontrolę dostępu w funkcji RPC PostgREST public.record_build_time, która jest dostępna dla roli anon i może być wywoływana za pomocą publicznego klucza anon. Atakujący bez uwierzytelnienia może wstawiać wiersze do public.build_logs dla dowolnych organizacji, co pozwala na modyfikację istniejących rekordów użycia/billingu.

Ocena ryzyka

Podatność ta umożliwia atakującym manipulację logami billingowymi różnych organizacji, co może prowadzić do nieautoryzowanego dostępu do danych finansowych oraz zwiększenia kosztów związanych z czasem budowy.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz przegląd i ograniczenie dostępu do funkcji public.record_build_time, aby zapobiec nieautoryzowanym operacjom.

Oryginalny opis (angielski, źródło NVD)

Capgo (Cap-go/capgo) before 12.128.2 contains an improper access control vulnerability in the SECURITY DEFINER PostgREST RPC function public.record_build_time, which is granted to the anon role and callable with only the public Supabase publishable (sb_publishable_*) anon key. An unauthenticated attacker can insert rows into public.build_logs for arbitrary organizations and, because the function uses ON CONFLICT (build_id, org_id) DO UPDATE, can overwrite existing usage/billing records by reusing the same build_id for a target org. This enables cross-tenant tampering of billing build logs and financial-impact denial of service by inflating billable build time.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS