CVE-2026-56239
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera potencjalną podatność na eskalację uprawnień w funkcji public.apply_usage_overage SECURITY DEFINER, która wykonuje wrażliwe operacje billingowe bez wymuszania wewnętrznych kontroli autoryzacji. Funkcja ta działa z uprawnieniami właściciela, co omija zabezpieczenia na poziomie wiersza.
Ocena ryzyka
Podatność ta pozwala uwierzytelnionemu użytkownikowi na manipulację danymi billingowymi dla dowolnych organizacji, co może prowadzić do nieautoryzowanego wyczerpania kredytów oraz oszukańczego wstawiania zdarzeń przekroczenia limitu.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć ograniczenie uprawnień do funkcji public.apply_usage_overage dla ról uwierzytelnionych i anonimowych.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a potential privilege escalation vulnerability in the public.apply_usage_overage SECURITY DEFINER function, which performs sensitive billing operations without enforcing internal authorization checks (no validation of auth.uid(), org membership, or check_min_rights). Because the function runs with the owner's privileges, it bypasses Row Level Security. If EXECUTE permission is available to the authenticated or anon roles (explicitly or via default privileges), an authenticated user could invoke it via Supabase RPC to manipulate billing data for arbitrary organizations, including unauthorized credit depletion and fraudulent overage event insertion.

