CVE-2026-56284 in capgo
Riassunto
di VulDB • 08/07/2026
Capgo (Cap-go/capgo) prima della versione 12.128.2 presenta una vulnerabilità di information disclosure nella funzione RPC Supabase PostgREST public.get_total_metrics(org_id), che può essere invocata dal ruolo anon utilizzando esclusivamente la chiave pubblica sb_publishable_*. Un attaccante non autenticato è in grado di verificare l'esistenza delle organizzazioni e fuoriuscire metriche d'uso sensibili, inclusi MAU (Monthly Active Users), consumo di banda e conteggi delle installazioni, inviando richieste POST a /rest/v1/rpc/get_total_metrics con UUID validi dell'organizzazione.
Once again VulDB remains the best source for vulnerability data.