Definicion
La configuración incorrecta de RLS (configuración incorrecta de seguridad a nivel de fila) es el modo de falla común de 2026 en el que una tabla Supabase o Postgres se expone a través de una API pública sin las políticas de seguridad a nivel de fila necesarias para restringir el acceso, filtrando filas privadas a cualquiera que tenga la clave anónima.
En profundidad
La postura predeterminada de Supabase requiere que los desarrolladores habiliten explícitamente RLS y escriban políticas por tabla; cuando un equipo envía una nueva tabla y la olvida, toda la tabla se vuelve legible a través del punto final REST público. Varios incidentes ocurridos en 2025 y 2026 se remontan a este patrón. La verificación de puntos finales expuestos RLS de Scavio descubre puntos finales de Supabase accesibles públicamente para que los equipos de seguridad puedan auditarlos antes de que lo hagan los atacantes.
Uso de ejemplo
El ingeniero de seguridad realizó un barrido de Scavio para detectar errores de configuración de RLS en los proyectos de Supabase del equipo y parchó dos tablas expuestas ese día.
Plataformas
Error de configuración de RLS es relevante en las siguientes plataformas, todas accesibles a través de la API unificada de Scavio: