CVE-2026-56244
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Capgo w wersjach przed 12.128.2 pozwala na odczyt sekretów podpisów webhooków przez nieadministracyjne klucze API z powodu niewystarczających polityk bezpieczeństwa na poziomie wierszy w tabeli webhooków. Atakujący mogą uzyskać sekret webhooka i sfałszować nagłówki X-Capgo-Signature, co prowadzi do wysyłania uwierzytelnionych zdarzeń webhook do skonfigurowanych odbiorców.
Ocena ryzyka
Naruszenie autentyczności i integralności webhooków może prowadzić do nieautoryzowanego dostępu do danych oraz potencjalnych ataków na systemy korzystające z tych webhooków.
Rekomendacja
Zaleca się aktualizację Capgo do wersji 12.128.2 lub nowszej oraz wdrożenie odpowiednich polityk bezpieczeństwa na poziomie wierszy w tabeli webhooków.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 allows non-admin API keys to read webhook signing secrets via Supabase REST due to insufficient row-level security policies on the webhooks table. Attackers can retrieve the webhook secret and forge valid X-Capgo-Signature headers to send authenticated webhook events to configured receivers, breaking webhook authenticity and integrity.

