つみかさね

CVE-2026-56253

High(7.5)

CVE-2026-56253 — Capgo 組織メンバー情報の未認証列挙

公開日: 2026-06-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
CapgoCap-go< 12.128.2

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Capgo のバージョンが 12.128.2 未満かどうか確認する
  2. 212.128.2 以降へアップデートする

影響対象

Capgo 12.128.2未満の環境
CVECapgoSupabase情報漏洩CWE-284

概要

Capgo(バージョン 12.128.2 未満)の public.get_org_members RPC 関数に不適切なアクセス制御の脆弱性があります。未認証の攻撃者が公開の sb_publishable_* キーと組織の UUID のみを使用してエンドポイントを呼び出すことで、組織メンバーのメールアドレス、ユーザー ID、ロール、保留中の招待などの機密情報を取得できます。

CVSSベクトル

項目
スコア7.5 (HIGH)
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityNone
AvailabilityNone

影響を受けるソフトウェア

製品ベンダーバージョン
CapgoCap-go< 12.128.2

修正バージョンと回避策

  • 修正バージョン: Capgo 12.128.2 以降

関連リンク

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-56239Capgo SECURITY DEFINER関数による権限昇格CVSS 7.6CVE-2026-56242Capgo APIキー有効性オラクルと利用者ID漏洩CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-56253
GitHub Advisory:https://github.com/Cap-go/capgo/security/advisories/GHSA-x34h-gc65-f6g4
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。