Katalog CVE

CVE-2026-56243

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Capgo w wersjach przed 12.128.2 zawiera lukę umożliwiającą obejście zabezpieczeń, w której PostgREST/RLS akceptuje niezaszyfrowane klucze API przez nagłówek capgkey, mimo że włączono enforce_hashed_api_keys. Atakujący mogą ominąć egzekwowanie kluczy haszowanych na poziomie organizacji, wysyłając niezaszyfrowane klucze API bezpośrednio do PostgREST/RLS w celu uzyskania dostępu do chronionych zasobów.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowany dostęp do chronionych zasobów, co może prowadzić do wycieku danych lub innych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej oraz weryfikację konfiguracji zabezpieczeń, aby upewnić się, że klucze API są odpowiednio haszowane i nie są akceptowane w postaci niezaszyfrowanej.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains a security control bypass vulnerability where the PostgREST/RLS plane accepts plaintext API keys through the capgkey header despite enforce_hashed_api_keys being enabled. Attackers can bypass org-level hashed-key enforcement by sending plaintext API keys directly to the PostgREST/RLS plane to access protected resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS