CVE-2026-56214
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punktach końcowych Supabase PostgREST RPC is_trial_org i is_paying_org, która pozwala nieautoryzowanym atakującym na enumerację organizacji oraz ujawnienie statusu płatności przy użyciu publicznego klucza sb_publishable.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do identyfikacji istniejących organizacji oraz klientów płacących, co stwarza ryzyko profilowania i potencjalnych ataków na te organizacje.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do punktów końcowych RPC dla nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an information disclosure vulnerability in Supabase PostgREST RPC endpoints is_trial_org and is_paying_org that allows unauthenticated attackers to enumerate organizations and disclose billing status using the public sb_publishable key. Attackers can invoke these endpoints to determine organization existence via distinguishable return values and identify paying customers for targeted profiling.

