Katalog CVE

CVE-2026-56321

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Capgo (backend funkcji edge Supabase) w wersjach przed 12.128.2 nie stosuje globalnego middleware autoryzacji do punktu końcowego GET /private/role_bindings/:org_id, w przeciwieństwie do tras POST i DELETE role_bindings. To pozwala na dotarcie nieautoryzowanych żądań do handlera zamiast ich odrzucenia na poziomie middleware.

Ocena ryzyka

Ryzyko polega na niespójnej egzekucji autoryzacji w różnych metodach HTTP, co może umożliwić obejście autoryzacji, jeśli logika handlera ulegnie zmianie. Choć obecnie nie występuje bezpośrednia ekspozycja danych, luka ta może prowadzić do poważniejszych problemów w przyszłości.

Rekomendacja

Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby zapewnić spójną egzekucję autoryzacji we wszystkich metodach HTTP. Dodatkowo warto przeprowadzić przegląd logiki handlera, aby upewnić się, że nie występują inne potencjalne luki.

Oryginalny opis (angielski, źródło NVD)

Capgo (backend Supabase edge functions) before 12.128.2 does not apply the global authentication middleware to the GET /private/role_bindings/:org_id endpoint, unlike the POST and DELETE role_bindings routes, so unauthenticated requests reach the handler instead of being rejected at the middleware layer. The handler still performs its own authorization check and returns Unauthorized, so no direct data exposure occurs; the flaw is inconsistent authentication enforcement across HTTP methods that could enable authorization bypass if the handler logic changes.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS