CVE-2026-56248
WysokieCVSS 7.5Streszczenie
Cap-go capgo (capgo-backend) w wersjach przed 12.128.12 zawiera podatność na nieautoryzowane odmowy usługi, wynikającą z polityki bezpieczeństwa na poziomie wiersza (RLS) w tabeli audit_logs, gdy jest dostępna przez API Supabase PostgREST.
Ocena ryzyka
Nieautoryzowane zapytania mogą prowadzić do wyczerpania zasobów bazy danych, co skutkuje błędami HTTP 500 na niezwiązanych punktach końcowych, co zagraża dostępności aplikacji.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.12 lub nowszej, aby usunąć tę podatność oraz monitorowanie zapytań do publicznego punktu końcowego audit_logs.
Oryginalny opis (angielski, źródło NVD)
Cap-go capgo (capgo-backend) before 12.128.12 contains an unauthenticated denial-of-service vulnerability arising from the audit_logs table's Row-Level Security (RLS) policy when accessed via the Supabase PostgREST API. Because the PostgreSQL query planner executes costly logic before RLS rejection, unfiltered queries to the public.audit_logs endpoint using the public anon key consistently trigger statement timeouts (PostgREST error 57014). Under concurrency, this exhausts database resources and causes cascading HTTP 500 failures on unrelated endpoints (e.g. /orgs), resulting in an application-layer denial of service.

