Šta se desilo?

Otkrivena je ozbiljna ranjivost u Capgo platformi (verzije pre 12.128.2) koja omogućava napadačima da neovlašćeno pristupe i menjaju podatke o naplatama drugih organizacija. Problematična funkcija public.record_build_time u PostgREST-u je dostupna bez autentifikacije i može se pozvati samo sa Supabase javnim ključem, što omogućava umetanje lažnih zapisa ili brisanje postojećih podataka.

Koga pogađa?

Pogođeni su svi korisnici Capgo platforme verzije 12.128.1 i starije, kao i kompanije koje koriste Supabase sa neadekvatno konfiguriranim pristupima. Takođe su ugrožene organizacije čije se naplate direktno računaju na osnovu vremena izgradnje aplikacija, jer napadači mogu veštački da povećaju troškove ili izazovu finansijske štete.

Kako se zaštititi?

  • Odmah ažurirajte Capgo na verziju 12.128.2 ili noviju
  • Pregledate sve evidencije naplate u vašem Supabase računu i proverite da li postoje anomalije
  • Proverite pristup javnim RPC funkcijama i ograničite ih na minimalno potreban nivo
  • Aktivirajte detaljan monitoring pristupa na svim javnim API točkama
  • Razmislite o primeni dodatnih slojeva autentifikacije za kritične operacije

Tehnički detalji

CVE-2026-56082 se tiče nepravilne kontrole pristupa u SECURITY DEFINER funkciji u Supabase-u. Napadač koristi javni ključ (sb_publishable_*) za pristup funkciji public.record_build_time koja je dozvoljena za anon ulogu. Kroz ON CONFLICT (build_id, org_id) DO UPDATE klauzulu, napadač može prepisati postojeće zapise o korišćenju i naplatama između različitih organizacija (cross-tenant tampering). Ovo omogućava finansijsku štetu kroz inflacijom vremena izgradnje.

Preporuka Sajber Radara

Ovo je ranjivost koja zahteva hitnu akciju jer direktno utiče na finansijsku integritet vašeg računa. Preporučujemo svim Capgo korisnicima da odmah izvrše ažuriranje i da proverite sve novije transakcije naplate. Organizacije trebaju revidiiti sve Supabase konfiguracije koje dozvoljavaju neautentifikovani pristup kritičnim funkcijama.