CVE-2026-56311
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w funkcji public.get_current_plan_max_org RPC, która pozwala nieautoryzowanym atakującym na uzyskanie limitów planów organizacji. Atakujący mogą wywołać punkt końcowy RPC z dowolnym UUID organizacji, używając tylko publicznego klucza Supabase, aby ujawnić informacje o rozliczeniach.
Ocena ryzyka
Luka ta może prowadzić do ujawnienia wrażliwych informacji o organizacjach, co stwarza ryzyko nadużyć finansowych oraz naruszenia prywatności danych. Organizacje mogą być narażone na straty finansowe oraz reputacyjne.
Rekomendacja
Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto wprowadzić dodatkowe mechanizmy autoryzacji dla punktów końcowych RPC.
Oryginalny opis (angielski, źródło NVD)
Capgo before 12.128.2 contains an authorization bypass vulnerability in the public.get_current_plan_max_org RPC function that allows unauthenticated attackers to retrieve arbitrary organization plan limits. Attackers can call the RPC endpoint with any organization UUID using only the public Supabase key to disclose billing information including MAU, bandwidth, storage, and build time limits for any organization.

