Katalog CVE

CVE-2026-56244

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Capgo w wersjach przed 12.128.2 pozwala na odczyt sekretów podpisów webhooków przez nieadministracyjne klucze API z powodu niewystarczających polityk bezpieczeństwa na poziomie wierszy w tabeli webhooków. Atakujący mogą uzyskać sekret webhooka i sfałszować nagłówki X-Capgo-Signature, co prowadzi do wysyłania uwierzytelnionych zdarzeń webhook do skonfigurowanych odbiorców.

Ocena ryzyka

Naruszenie autentyczności i integralności webhooków może prowadzić do nieautoryzowanego dostępu do danych oraz potencjalnych ataków na systemy korzystające z tych webhooków.

Rekomendacja

Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz wdrożenie odpowiednich polityk bezpieczeństwa na poziomie wierszy w tabeli webhooków.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 allows non-admin API keys to read webhook signing secrets via Supabase REST due to insufficient row-level security policies on the webhooks table. Attackers can retrieve the webhook secret and forge valid X-Capgo-Signature headers to send authenticated webhook events to configured receivers, breaking webhook authenticity and integrity.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS