PT-2026-56429 · Postgres+1 · Postgres+1
Judel777
·
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-56250
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Capgo versões anteriores a 12.128.2
Description
Uma falha de validação de entrada e autorização inadequada existe na API PostgREST, permitindo que usuários com chaves de API de escopo de upload modifiquem o campo mutável
r2 path dentro de app versions. Isso permite que um invasor redirecione referências de pacotes para objetos R2 arbitrários. Ao alterar o r2 path para apontar para um objeto de vítima e, subsequentemente, excluir logicamente a versão controlada pelo invasor, a função de limpeza on version update pode ser acionada para excluir o objeto R2 da vítima, resultando em negação de serviço e interrupção da disponibilidade do pacote.Recommendations
Atualizar para a versão 12.128.2.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cap-Go
Postgres