CVE-2026-56245
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Supabase Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w funkcji RPC SECURITY DEFINER record_build_time, która pozwala nieautoryzowanym atakującym na wstawianie dowolnych rekordów czasu budowy. Atakujący mogą wykorzystać tę lukę, wywołując POST /rest/v1/rpc/record_build_time z publicznym kluczem API.
Ocena ryzyka
Luka ta umożliwia atakującym manipulację danymi rozliczeniowymi i limitami dla dowolnej organizacji, co może prowadzić do wyczerpania zasobów oraz manipulacji rozliczeniami między najemcami.
Rekomendacja
Zaleca się aktualizację Supabase Capgo do wersji 12.128.2 lub nowszej oraz monitorowanie dostępu do funkcji RPC w celu wykrycia nieautoryzowanych prób.
Oryginalny opis (angielski, źródło NVD)
Supabase Capgo before 12.128.2 contains an authorization bypass vulnerability in the SECURITY DEFINER record_build_time RPC function that allows unauthenticated attackers to insert arbitrary build-time records. Attackers can exploit this by calling POST /rest/v1/rpc/record_build_time with a public API key to poison billing and quota data for any organization, enabling resource exhaustion and cross-tenant billing manipulation.

