PT-2026-56429 · Postgres+1 · Postgres+1

Judel777

·

Publicado

2026-07-08

·

Atualizado

2026-07-08

·

CVE-2026-56250

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Capgo versões anteriores a 12.128.2
Description Uma falha de validação de entrada e autorização inadequada existe na API PostgREST, permitindo que usuários com chaves de API de escopo de upload modifiquem o campo mutável r2 path dentro de app versions. Isso permite que um invasor redirecione referências de pacotes para objetos R2 arbitrários. Ao alterar o r2 path para apontar para um objeto de vítima e, subsequentemente, excluir logicamente a versão controlada pelo invasor, a função de limpeza on version update pode ser acionada para excluir o objeto R2 da vítima, resultando em negação de serviço e interrupção da disponibilidade do pacote.
Recommendations Atualizar para a versão 12.128.2.

Exploit

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56250
GHSA-PW8P-5JG6-CXJ3

Produtos afetados

Cap-Go
Postgres