つみかさね

CVE-2026-56239

High(7.6)

CVE-2026-56239 — Capgo SECURITY DEFINER関数による権限昇格・課金操作

公開日: 2026-06-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
CapgoCap-go< 12.128.2

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Capgo のバージョンが 12.128.2 未満かどうか確認する
  2. 212.128.2 以降へアップデートする

影響対象

Capgo 12.128.2未満のセルフホスト環境または同バージョンのクラウドサービス利用者
CVECapgoSupabase権限昇格課金CWE-269

概要

Capacitor アプリの OTA アップデートプラットフォーム Capgo(バージョン 12.128.2 未満)の Supabase public.apply_usage_overage SECURITY DEFINER 関数において、認可チェックが欠落しています。この関数は機密性の高い課金操作を行いますが、auth.uid() の検証、組織メンバーシップの確認、または check_min_rights の呼び出しを行いません。SECURITY DEFINER 関数はオーナーの権限で実行されるため Row Level Security をバイパスします。

authenticated または anon ロールに EXECUTE 権限がある場合、認証済みユーザーが Supabase RPC 経由でこの関数を呼び出し、任意の組織の課金データを操作(不正なクレジット消費や不正な超過イベント挿入など)できます。

CVSSベクトル

項目
スコア7.6 (HIGH)
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionNone
ScopeChanged
ConfidentialityLow
IntegrityHigh
AvailabilityLow

影響を受けるソフトウェア

製品ベンダーバージョン
CapgoCap-go< 12.128.2

修正バージョンと回避策

  • 修正バージョン: Capgo 12.128.2 以降

関連リンク

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-56242Capgo APIキー有効性オラクルと利用者ID漏洩CVSS 7.5CVE-2026-56253Capgo 組織メンバー未認証列挙CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-56239
GitHub Advisory:https://github.com/Cap-go/capgo/security/advisories/GHSA-qq85-vjrq-m75g
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。