Katalog CVE

CVE-2026-56219

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym ominięcie autoryzacji w funkcji public.get_org_user_access_rbac. Poprzez niewłaściwe porównanie wartości NULL w bramce autoryzacji, atakujący mogą ujawnić powiązania ról RBAC oraz adresy e-mail członków organizacji, wykorzystując jedynie publiczny klucz API.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do wrażliwych danych organizacji, takich jak struktura ról i adresy e-mail, co może prowadzić do dalszych ataków socjotechnicznych lub eskalacji uprawnień.

Rekomendacja

Należy natychmiast zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera poprawkę eliminującą podatność. Dodatkowo warto ograniczyć dostęp do publicznych kluczy API i monitorować logi pod kątem podejrzanych zapytań do endpointu PostgREST RPC.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a NULL-auth bypass vulnerability in the public.get_org_user_access_rbac function that allows unauthenticated attackers to retrieve RBAC role bindings and member email addresses. Attackers can exploit improper NULL comparison in the authorization gate to disclose organization membership, roles, and email addresses via the PostgREST RPC endpoint using only a public API key.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS