CVE-2026-56235
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Cap-go w wersjach przed 12.128.2 zawiera lukę w autoryzacji w kilku funkcjach RPC Supabase PostgREST, które są dostępne dla roli anon bez wymuszania członkostwa w organizacji lub sprawdzania uprawnień. Atakujący może wykorzystać publiczny klucz API Supabase do zapytań o wartości org_id, co pozwala na ujawnienie telemetrii użycia między najemcami.
Ocena ryzyka
Organizacja jest narażona na ujawnienie wrażliwych danych telemetrycznych oraz możliwość enumeracji identyfikatorów aplikacji, co może prowadzić do dalszych ataków na infrastrukturę.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej oraz wdrożenie odpowiednich kontroli dostępu, aby zapobiec nieautoryzowanemu dostępowi do funkcji RPC.
Oryginalny opis (angielski, źródło NVD)
Cap-go capgo before 12.128.2 contains an authorization bypass in several Supabase PostgREST RPC functions (get_app_metrics, get_global_metrics, get_total_metrics) that are granted to the anon role without enforcing org membership or permission checks. An unauthenticated attacker using only the public Supabase API key (sb_publishable_*) can query arbitrary org_id values to disclose cross-tenant usage telemetry (MAU, bandwidth, installs, gets), enumerate app IDs for a target org, and determine org existence via an oracle (valid org returns metrics, invalid returns []).

