Capgo - 未授权的组织数据泄露漏洞 漏洞概述 Capgo (Cap-go/capgo) 在版本 12.128.2 之前存在一个未授权的组织数据泄露漏洞。该漏洞允许攻击者通过调用 RPC 函数,无需验证用户身份即可获取组织成员信息、角色、订阅/试用元数据和管理邮箱(PII)。 影响范围 受影响版本: capgo >= 0, < 12.128.2 CVE: CVE-2026-56226 CWE: CWE-200 暴露敏感信息给未授权行为者 CVSS: 8.7 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 修复方案 升级到版本 12.128.2 或更高版本以修复此漏洞。 参考链接 GitHub Security Advisory 描述 Capgo (Cap-go/capgo) 在版本 12.128.2 之前暴露了 Supabase PostgREST RPC 函数 ,该函数被定义为 SECURITY DEFINER 并授予了 anon 角色,允许未授权访问。由于该函数接受调用者提供的用户 UUID 而不验证其是否与认证用户匹配,攻击者仅使用可发布的 API 密钥即可通过 POST 请求,并附带任意用户 UUID,以检索用户的组织成员信息、角色、订阅/试用元数据和管理邮箱(PII)。