PT-2026-57429 · Postgresql Global Development Group+1 · Postgresql+1

Judel777

·

Publicado

2026-07-11

·

Atualizado

2026-07-11

·

CVE-2026-56303

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Capgo versões anteriores a 12.128.2
Description Um problema de divulgação de informações existe na função PostgreSQL find apikey by value(). Esta função é marcada como SECURITY DEFINER, o que permite que ela seja executada com os privilégios do usuário que a criou, e é executável pela função anon. Atacantes não autenticados podem acessar o endpoint '/rest/v1/rpc/find apikey by value' para recuperar metadados sensíveis de chaves de API, como user id, mode, escopo da organização e detalhes de expiração, ao fornecer um valor de chave válido.
Recommendations Atualize para a versão 12.128.2 ou posterior. Como mitigação temporária, restrinja o acesso ao endpoint '/rest/v1/rpc/find apikey by value'.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56303
GHSA-2XJQ-H43M-592F

Produtos afetados

Cap-Go
Postgresql