Katalog CVE

CVE-2026-56311

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w funkcji public.get_current_plan_max_org RPC, która pozwala nieautoryzowanym atakującym na uzyskanie limitów planów organizacji. Atakujący mogą wywołać punkt końcowy RPC z dowolnym UUID organizacji, używając tylko publicznego klucza Supabase, aby ujawnić informacje o rozliczeniach.

Ocena ryzyka

Luka ta może prowadzić do ujawnienia wrażliwych informacji o organizacjach, co stwarza ryzyko nadużyć finansowych oraz naruszenia prywatności danych. Organizacje mogą być narażone na straty finansowe oraz reputacyjne.

Rekomendacja

Zaleca się aktualizację do wersji Capgo 12.128.2 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto wprowadzić dodatkowe mechanizmy autoryzacji dla punktów końcowych RPC.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 contains an authorization bypass vulnerability in the public.get_current_plan_max_org RPC function that allows unauthenticated attackers to retrieve arbitrary organization plan limits. Attackers can call the RPC endpoint with any organization UUID using only the public Supabase key to disclose billing information including MAU, bandwidth, storage, and build time limits for any organization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS