Katalog CVE

CVE-2026-56214

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punktach końcowych Supabase PostgREST RPC is_trial_org i is_paying_org, która pozwala nieautoryzowanym atakującym na enumerację organizacji oraz ujawnienie statusu płatności przy użyciu publicznego klucza sb_publishable.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do identyfikacji istniejących organizacji oraz klientów płacących, co stwarza ryzyko profilowania i potencjalnych ataków na te organizacje.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do punktów końcowych RPC dla nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an information disclosure vulnerability in Supabase PostgREST RPC endpoints is_trial_org and is_paying_org that allows unauthenticated attackers to enumerate organizations and disclose billing status using the public sb_publishable key. Attackers can invoke these endpoints to determine organization existence via distinguishable return values and identify paying customers for targeted profiling.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS