CVE-2026-56339 in capgo
要約
〜によって VulDB • 2026年07月15日
Capgo (Cap-go/capgo) 12.128.2 より前には、Supabase PostgREST の SECURITY DEFINER RPC 関数 public.rescind_invitation に情報漏洩の脆弱性が存在し、認証されていない攻撃者が組織の有無を列挙できる。この関数は、公開可能な API キーのみで呼び出された場合、異なるエラーメッセージ(NO_ORG と NO_RIGHTS)を返すため、攻撃者は有効な組織 ID を発見でき、標的型フィッシングやソーシャルエンジニアリングキャンペーンに対する攻撃対象範囲を広げることができる。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.