Katalog CVE

CVE-2026-56245

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Supabase Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w funkcji RPC SECURITY DEFINER record_build_time, która pozwala nieautoryzowanym atakującym na wstawianie dowolnych rekordów czasu budowy. Atakujący mogą wykorzystać tę lukę, wywołując POST /rest/v1/rpc/record_build_time z publicznym kluczem API.

Ocena ryzyka

Luka ta umożliwia atakującym manipulację danymi rozliczeniowymi i limitami dla dowolnej organizacji, co może prowadzić do wyczerpania zasobów oraz manipulacji rozliczeniami między najemcami.

Rekomendacja

Zaleca się aktualizację Supabase Capgo do wersji 12.128.2 lub nowszej oraz monitorowanie dostępu do funkcji RPC w celu wykrycia nieautoryzowanych prób.

Oryginalny opis (angielski, źródło NVD)

Supabase Capgo before 12.128.2 contains an authorization bypass vulnerability in the SECURITY DEFINER record_build_time RPC function that allows unauthenticated attackers to insert arbitrary build-time records. Attackers can exploit this by calling POST /rest/v1/rpc/record_build_time with a public API key to poison billing and quota data for any organization, enabling resource exhaustion and cross-tenant billing manipulation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS