Katalog CVE

CVE-2026-56334

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

W Capgo przed wersją 12.128.2 brakuje polityki bezpieczeństwa na poziomie wierszy (RLS) dla tabeli build_requests, co uniemożliwia aktualizację statusu buildera przez klucze API i anonimowy dostęp. Atakujący mogą wykorzystać ten brak, aby uniemożliwić trwałe zapisywanie statusu i szczegółów błędów, pozostawiając wiersze build_requests w stanie oczekiwania z pustymi wartościami last_error.

Ocena ryzyka

Organizacja narażona jest na brak widoczności rzeczywistego stanu procesów budowania, co może prowadzić do opóźnień w wykrywaniu błędów i utrudniać zarządzanie pipeline'em CI/CD.

Rekomendacja

Należy niezwłocznie zaktualizować Capgo do wersji 12.128.2 lub nowszej, która zawiera odpowiednią politykę RLS dla tabeli build_requests.

Oryginalny opis (angielski, źródło NVD)

Capgo before 12.128.2 lacks an UPDATE row-level security policy for the build_requests table, preventing API-key and anonymous access from persisting builder status updates. Attackers can exploit this missing policy to cause build status and error details to remain unpersisted, leaving build_requests rows stuck in pending state with null last_error values.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS