つみかさね

CVE-2026-56242

High(7.5)

CVE-2026-56242 — Capgo 未認証APIキー有効性オラクルと利用者ID漏洩

公開日: 2026-06-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
CapgoCap-go< 12.128.2

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Capgo のバージョンが 12.128.2 未満かどうか確認する
  2. 212.128.2 以降へアップデートする

影響対象

Capgo 12.128.2未満の環境
CVECapgoSupabase情報漏洩CWE-200

概要

Capgo(バージョン 12.128.2 未満)の未認証の SECURITY DEFINER RPC 関数 get_identity_apikey_only が、提供された API キーのオーナー user_id を返します。攻撃者はこのエンドポイントを利用して API キーの有効性を確認し、有効なキーをユーザー識別子にマッピングできます。さらに get_orgs_v6 などの他の公開 RPC と連鎖させることで、組織メンバーシップや管理者メールアドレスなどの PII を取得できます。

CVSSベクトル

項目
スコア7.5 (HIGH)
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityNone
AvailabilityNone

影響を受けるソフトウェア

製品ベンダーバージョン
CapgoCap-go< 12.128.2

修正バージョンと回避策

  • 修正バージョン: Capgo 12.128.2 以降

関連リンク

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-56239Capgo SECURITY DEFINER関数による権限昇格CVSS 7.6CVE-2026-56253Capgo 組織メンバー未認証列挙CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-56242
GitHub Advisory:https://github.com/Cap-go/capgo/security/advisories/GHSA-fhgj-7376-qxwx
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。