CVE-2026-56235

Nome do Software Vulnerável e Versões Afetadas capgo versões anteriores a 12.128.2

Descrição Existe uma falha de bypass de autorização em várias funções RPC do Supabase PostgREST: get app metrics(), get global metrics() e get total metrics(). Essas funções são concedidas à função anon sem a aplicação de verificações de permissão ou de associação à organização. Um invasor não autenticado com uma chave de API pública do Supabase (sb publishable *) pode consultar valores arbitrários de org id para expor telemetria de uso entre locatários, incluindo usuários ativos mensais (MAU), largura de banda, instalações e gets. Além disso, isso permite a enumeração de IDs de aplicativos para uma organização alvo e a determinação da existência de uma organização via oráculo, onde uma organização válida retorna métricas e uma inválida retorna uma lista vazia.

Recomendações Atualize para a versão 12.128.2 ou posterior. Como medida paliativa temporária, restrinja o acesso às funções get app metrics(), get global metrics() e get total metrics().