CVE-2026-56243
WysokieCVSS 8.1Streszczenie
Capgo w wersjach przed 12.128.2 zawiera lukę umożliwiającą obejście zabezpieczeń, w której PostgREST/RLS akceptuje niezaszyfrowane klucze API przez nagłówek capgkey, mimo że włączono enforce_hashed_api_keys. Atakujący mogą ominąć egzekwowanie kluczy haszowanych na poziomie organizacji, wysyłając niezaszyfrowane klucze API bezpośrednio do PostgREST/RLS w celu uzyskania dostępu do chronionych zasobów.
Ocena ryzyka
Luka ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowany dostęp do chronionych zasobów, co może prowadzić do wycieku danych lub innych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej oraz weryfikację konfiguracji zabezpieczeń, aby upewnić się, że klucze API są odpowiednio haszowane i nie są akceptowane w postaci niezaszyfrowanej.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains a security control bypass vulnerability where the PostgREST/RLS plane accepts plaintext API keys through the capgkey header despite enforce_hashed_api_keys being enabled. Attackers can bypass org-level hashed-key enforcement by sending plaintext API keys directly to the PostgREST/RLS plane to access protected resources.

