CVE-2026-56073: Kritisk Cap-go OTP-bypass sårbarhed
Kritisk fejl i Cap-go lader angribere omgå to-faktor-godkendelse og overtage brugerkonti uden kodeord.
Hvad er det?
Cap-go er et software-framework til at bygge desktop- og mobilapps. I versioner før 12.128.2 er der en alvorlig fejl i den del, der håndterer engangskoder (OTP — de sekscifrede koder du fx modtager på e-mail ved login). Fejlen betyder, at en angriber kan snyde systemet til at tro, at en kode er blevet bekræftet korrekt — uden at kenden den rigtige kode. Det kaldes et authentication bypass (omgåelse af adgangskontrol). Angriberen behøver hverken kodeord eller adgang til ofrets e-mail for at overtage kontoen.
Hvem rammer det?
Fejlen rammer virksomheder og udviklere, der har bygget applikationer ved hjælp af Cap-go i en version ældre end 12.128.2. Hvis din virksomhed bruger en app — internt eller eksternt — der er udviklet med Cap-go, og denne app benytter e-mail-baseret to-faktor-godkendelse (2FA), er du potentielt i risikogruppen. Det gælder uanset om applikationen er en kunde-app, en medarbejder-portal eller et internt administrationsværktøj.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Overtage brugerkonti uden at kende kodeord eller have adgang til ofrets e-mail.
- Aktivere to-faktor-godkendelse på vegne af offeret, og dermed låse den legitime bruger ude af sin egen konto.
- Få adgang til fortrolige data i applikationen — fx kundeoplysninger, ordrehistorik, interne dokumenter.
- Foretage handlinger i applikationen som om de var den rigtige bruger — herunder ændre indstillinger, overføre data eller eskalere rettigheder.
Angrebet kræver, at angriberen kan aflytte og manipulere netværkstrafik (et såkaldt man-in-the-middle-angreb), typisk på usikrede netværk eller ved hjælp af malware på netværket.
Hvor alvorligt er det?
CVSS-scoren er 9.4 ud af 10 — kritisk. Det afspejler følgende:
- Angreb sker over internettet — ingen fysisk adgang nødvendig.
- Lav kompleksitet — angrebet er ikke teknisk svært at udføre.
- Ingen rettigheder eller brugerinteraktion kræves — angriberen behøver ikke en konto eller at narre nogen til at klikke på noget.
- Høj fortroligheds- og integritetspåvirkning — data kan både læses og manipuleres.
CWE-345 dækker over utilstrækkelig verifikation af datas ægthed — systemet stoler blindt på et svar, det selv modtager, uden at validere om svaret er ægte.
Hvad gør jeg nu?
Hvis din virksomhed bruger applikationer bygget med Cap-go, bør du straks tage følgende skridt:
- Find ud af hvilken version af Cap-go din app bruger. Spørg din app-udvikler eller IT-leverandør om versionsnummeret. Er det under 12.128.2, er du sårbar.
- Opdater Cap-go til version 12.128.2 eller nyere. Bed din udvikler eller IT-partner gennemføre opdateringen hurtigst muligt.
- Gennemgå logs for mistænkelig aktivitet. Se om der har været usædvanlige logins eller kontoændringer i perioden op til opdateringen.
- Overvej midlertidigt at deaktivere e-mail-baseret OTP i applikationen, indtil opdateringen er på plads — og brug en alternativ godkendelsesmetode hvis muligt.
- Orienter berørte brugere, hvis der er mistanke om, at konti kan være kompromitterede.
Opdater inden for 24-72 timer
Med en CVSS-score på 9.4 og ingen krav om forudgående adgang behandler Auroa denne sårbarhed som akut. Du bør kontakte din app-udvikler eller IT-leverandør i dag og få bekræftet, om jeres løsning er opdateret. Vent ikke på den næste planlagte vedligeholdelsesrunde — risikoen for kontoovertag er reel og umiddelbar. Har du ikke en aftalt IT-partner, er du velkommen til at kontakte os for en hurtig vurdering.
Tidslinje
Konkrete eksempler
Angriber låser bruger ude af egen konto
En angriber identificerer en bruger i en Cap-go-baseret medarbejderportal. Ved at aflytte netværkstrafikken — fx via et kompromitteret Wi-Fi-netværk — manipulerer angriberen HTTP-svaret fra serveren, så OTP-bekræftelsen fremstår som godkendt. Angriberen aktiverer derefter sin egen 2FA-enhed på kontoen, og den legitime medarbejder kan ikke længere logge ind.
Uautoriseret adgang til kundedata
En webshop bruger Cap-go til sin kundeportal, hvor brugere kan se ordrehistorik og gemte betalingskort. En angriber udnytter OTP-bypass-fejlen til at overtage en kundekonto og tilgå persondata, adresser og delvise kortoplysninger — uden at kunden opdager det, før skaden er sket.
Intern eskalering via administratorkonto
I en virksomhed med en internt udviklet Cap-go-app til projektstyring overtager en ekstern angriber en administratorkonto ved hjælp af OTP-bypass. Angriberen ændrer adgangsrettigheder, eksporterer fortrolige projektfiler og planter bagdøre i systemet — alt imens adgangen fremstår legitim i systemloggen.
Ofte stillede spørgsmål
Hvad er en OTP, og hvorfor er den vigtig?
OTP står for One-Time Password — en engangskode, typisk 6 cifre, som sendes til din e-mail eller telefon ved login. Den er en central del af to-faktor-godkendelse (2FA), som beskytter konti selv hvis kodeordet er stjålet. Fejlen i Cap-go gør det muligt at narre systemet til at acceptere en OTP-bekræftelse, som aldrig reelt fandt sted.
Bruger vi Cap-go — hvad gør jeg, hvis jeg er usikker?
Spørg den virksomhed eller udvikler, der har bygget eller vedligeholder jeres app, om den er baseret på Cap-go og hvilken version der anvendes. Du kan også bede dem tjekke applikationens afhængighedsliste (typisk en fil kaldet
package.jsoneller tilsvarende). Er versionen under 12.128.2, skal den opdateres nu.Kan angriberen tilgå alle vores data?
Det afhænger af, hvad applikationen giver adgang til. En angriber, der overtager en brugerkonto, får de samme rettigheder som den pågældende bruger. Har brugeren adgang til følsomme oplysninger — som kundedata, økonomioplysninger eller interne dokumenter — kan angriberen potentielt se og ændre disse data.
Er vi beskyttede, hvis vi allerede bruger 2FA?
Desværre ikke i dette tilfælde. Netop 2FA-flowet er det, der er sårbart. Fejlen gør det muligt at omgå e-mail-baseret OTP-godkendelse i Cap-go, så selv aktiveret 2FA ikke giver den forventede beskyttelse — indtil applikationen er opdateret til version 12.128.2 eller nyere.
Hvad koster det ikke at handle?
Risikoen er kontoovertag af brugere i jeres applikation. Det kan medføre datalæk, GDPR-brud (med potentielle bøder og pligt til at anmelde til Datatilsynet inden 72 timer), tab af kundetillid og i værste fald misbrug af de kompromitterede konti til yderligere angreb internt i jeres systemer.
Skal vi anmelde dette til Datatilsynet?
Kun hvis I har konstateret eller har grund til at mistænke, at persondata faktisk er tilgået uautoriseret. Hvis I opdaterer hurtigt og intet tyder på misbrug, er der ikke nødvendigvis pligt til anmeldelse. Er der tvivl, bør I konsultere jeres databeskyttelsesrådgiver (DPO) eller juridisk rådgiver hurtigst muligt — fristen er 72 timer fra opdagelsestidspunktet.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Cap-go before 12.128.2 contains an authentication bypass vulnerability in OTP verification that allows attackers to bypass email verification by modifying server responses. Attackers can intercept OTP verification requests and manipulate HTTP responses to falsely mark verification successful, enabling unauthorized 2FA enablement and account takeover.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
