CVE-2026-56321
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Capgo (backend funkcji edge Supabase) w wersjach przed 12.128.2 nie stosuje globalnego middleware autoryzacji do punktu końcowego GET /private/role_bindings/:org_id, w przeciwieństwie do tras POST i DELETE role_bindings. To pozwala na dotarcie nieautoryzowanych żądań do handlera zamiast ich odrzucenia na poziomie middleware.
Ocena ryzyka
Ryzyko polega na niespójnej egzekucji autoryzacji w różnych metodach HTTP, co może umożliwić obejście autoryzacji, jeśli logika handlera ulegnie zmianie. Choć obecnie nie występuje bezpośrednia ekspozycja danych, luka ta może prowadzić do poważniejszych problemów w przyszłości.
Rekomendacja
Zaleca się aktualizację do wersji 12.128.2 lub nowszej, aby zapewnić spójną egzekucję autoryzacji we wszystkich metodach HTTP. Dodatkowo warto przeprowadzić przegląd logiki handlera, aby upewnić się, że nie występują inne potencjalne luki.
Oryginalny opis (angielski, źródło NVD)
Capgo (backend Supabase edge functions) before 12.128.2 does not apply the global authentication middleware to the GET /private/role_bindings/:org_id endpoint, unlike the POST and DELETE role_bindings routes, so unauthenticated requests reach the handler instead of being rejected at the middleware layer. The handler still performs its own authorization check and returns Unauthorized, so no direct data exposure occurs; the flaw is inconsistent authentication enforcement across HTTP methods that could enable authorization bypass if the handler logic changes.

