CVE-2026-56243 Capgo Bypass
A vulnerabilidade permite que atacantes bypassiem a segurança de chaves de API hashadas, enviando chaves de API em texto puro diretamente para o plano PostgREST/RLS, permitindo o acesso a recursos protegidos. Isso ocorre devido a uma falha no controle de segurança que aceita chaves de API em texto puro, mesmo com a opção enforce_hashed_api_keys habilitada. O impacto real é a possibilidade de acessar recursos protegidos sem a devida autenticação. A exploração dessa vulnerabilidade pode ser feita sem a necessidade de autenticação prévia.
CVE: CVE-2026-56243
Severidade: HIGH
Resumo:
A vulnerabilidade permite que atacantes bypassiem a segurança de chaves de API hashadas, enviando chaves de API em texto puro diretamente para o plano PostgREST/RLS, permitindo o acesso a recursos protegidos. Isso ocorre devido a uma falha no controle de segurança que aceita chaves de API em texto puro, mesmo com a opção enforce_hashed_api_keys habilitada. O impacto real é a possibilidade de acessar recursos protegidos sem a devida autenticação. A exploração dessa vulnerabilidade pode ser feita sem a necessidade de autenticação prévia.
CVSS: 8.1