PT-2026-57429 · Postgresql Global Development Group+1 · Postgresql+1
Judel777
·
Publicado
2026-07-11
·
Atualizado
2026-07-11
·
CVE-2026-56303
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Capgo versões anteriores a 12.128.2
Description
Um problema de divulgação de informações existe na função PostgreSQL
find apikey by value(). Esta função é marcada como SECURITY DEFINER, o que permite que ela seja executada com os privilégios do usuário que a criou, e é executável pela função anon. Atacantes não autenticados podem acessar o endpoint '/rest/v1/rpc/find apikey by value' para recuperar metadados sensíveis de chaves de API, como user id, mode, escopo da organização e detalhes de expiração, ao fornecer um valor de chave válido.Recommendations
Atualize para a versão 12.128.2 ou posterior.
Como mitigação temporária, restrinja o acesso ao endpoint '/rest/v1/rpc/find apikey by value'.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cap-Go
Postgresql