CVE-2026-56081: Kritisk fejl i Cap-go — opdatér nu
Fejl i Cap-go før v12.128.2 lader angribere overtage din e-mailadresse og låse dig ude af din egen konto.
Hvad er det?
Cap-go er en platform til virksomhedsstyring og brugerkonti. I versioner før 12.128.2 er der en fejl i den logik, der tjekker om en e-mailadresse er bekræftet, inden en konto oprettes. Det betyder, at en angriber kan registrere en konto med din e-mailadresse, inden du selv gør det. Når angriberen efterfølgende aktiverer to-faktor-godkendelse (et ekstra sikkerhedstrin) på den kaprede konto, er du låst ude — selv om adressen egentlig er din. Angriberen kan derefter læse og ændre kontoens indhold og sætte politikker for hele din organisation.
Hvem rammer det?
Alle virksomheder og enkeltpersoner, der bruger Cap-go i en version ældre end 12.128.2. Risikoen er særligt høj, hvis din organisation er ved at oprette nye brugerkonti, onboarde medarbejdere eller har e-mailadresser, der er offentligt kendte — f.eks. fra jeres hjemmeside eller LinkedIn. Angriberen behøver ingen forudgående adgang til jeres systemer.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan følgende ske:
- Kontoovertag: Angriberen kontrollerer en konto, der fremstår som din eller en medarbejders.
- Datalæk: Alt indhold knyttet til kontoen — dokumenter, beskeder, indstillinger — kan læses af angriberen.
- Manipulation: Angriberen kan ændre kontoens data og indstillinger.
- Organisationspolitikker: Angriberen kan håndhæve regler for hele din organisation via den kaprede konto.
- Udelukkelse: Den rigtige ejer af e-mailadressen kan slet ikke oprette sin konto og mister adgang til tjenesten.
Hvor alvorligt er det?
Sårbarheden er vurderet kritisk med en CVSS-score på 9,1 ud af 10. Det skyldes, at angrebet kan udføres over internettet uden særlige tekniske forudsætninger, uden at offeret behøver at gøre noget, og uden at angriberen har brug for nogen form for forudgående adgang. Fortrolighed og integritet (mulighed for at læse og ændre data) er begge alvorligt truet. Det eneste, der trækker ned fra maksimumscoren, er at tjenestens tilgængelighed (om systemet kører) ikke påvirkes direkte.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt:
- Find ud af, hvilken version I bruger: Tjek jeres Cap-go-installation eller spørg den ansvarlige for jeres IT-opsætning, hvilken version der er installeret.
- Opdatér til version 12.128.2 eller nyere: Dette er den eneste fuldstændige løsning. Opdateringen lukker fejlen i registreringslogikken.
- Gennemgå eksisterende konti: Kontrollér om der er oprettet konti med jeres virksomheds e-mailadresser, som I ikke selv har oprettet. Mistænkelige konti bør slettes eller spærres.
- Orienter medarbejdere: Informér relevante medarbejdere om, at de skal verificere, at de har fuld adgang til deres egne konti og ikke er låst ude.
- Kontakt support hvis nødvendigt: Hvis I oplever, at en konto allerede er kompromitteret, bør I kontakte Cap-go’s support med henblik på gendannelse.
Opdatér inden for 24-48 timer
Opdatér Cap-go til version 12.128.2 eller nyere hurtigst muligt — helst inden for de næste 24 timer. Fejlen kræver ingen særlige tekniske færdigheder at udnytte, og angribere kan i princippet begynde at misbruge den fra det øjeblik, de bliver bekendt med den. Gennemgå samtidig jeres eksisterende konti for uregelmæssigheder. Hvis I er i tvivl om, om I er berørt, er I velkomne til at kontakte os for en hurtig gennemgang.
Tidslinje
Konkrete eksempler
Angriber overtager ny medarbejderkonto
En virksomhed annoncerer på LinkedIn, at de har ansat en ny HR-chef med e-mailadressen hr@virksomhed.dk. Inden medarbejderen selv opretter sin Cap-go-konto, registrerer en angriber kontoen med samme adresse og aktiverer 2FA. Når HR-chefen forsøger at oprette sin konto, opdager hun, at adressen allerede er i brug — og angriberen har nu fuld adgang til hendes fremtidige arbejdskonto.
Virksomhedsspionage via organisations-administrator
En konkurrent identificerer en virksomheds Cap-go-administrator via en offentlig e-mailadresse. Angriberen registrerer en konto med administratorens adresse, inden vedkommende selv har oprettet den, og aktiverer 2FA. Med administratoradgang kan angriberen herefter læse organisationens interne data, ændre politikker og potentielt låse de rigtige brugere ude af systemet.
Målrettet udelukkelse af leder
En angriber ønsker at forstyrre en virksomheds drift forud for en vigtig forhandling. Ved at kapre direktørens Cap-go-konto med ovenstående metode sikrer angriberen, at direktøren ikke kan tilgå relevante dokumenter og kommunikation i systemet på det kritiske tidspunkt — mens angriberen selv kan overvåge og manipulere indholdet.
Ofte stillede spørgsmål
Skal vi bruge Cap-go aktivt for at være i fare?
Nej, ikke nødvendigvis. Hvis jeres virksomheds e-mailadresser er offentligt tilgængelige — f.eks. på jeres hjemmeside — kan en angriber forsøge at registrere konti med dem, uden at I selv har gjort noget endnu. Risikoen er størst, når nye medarbejdere er ved at oprette konti, men eksisterende konti, der ikke er fuldt bekræftet, kan også være sårbare.
Hvad er to-faktor-godkendelse, og hvorfor er det et problem her?
To-faktor-godkendelse (2FA) er normalt en ekstra sikkerhedsforanstaltning, der kræver to former for bekræftelse ved login — f.eks. kodeord plus en kode på mobilen. I dette tilfælde misbruger angriberen 2FA til at låse dig ude af din egen konto: Når angriberen har registreret kontoen med din e-mailadresse og aktiveret 2FA, er det angrigerens telefon der er koblet til kontoen — ikke din.
Kan vi bare deaktivere brugeroprettelse midlertidigt som en nødløsning?
Det kan reducere den umiddelbare risiko for nye konti, men det er ikke en tilstrækkelig løsning. Fejlen kan allerede have været udnyttet mod e-mailadresser i jeres organisation. Den eneste rigtige løsning er at opdatere Cap-go til version 12.128.2 eller nyere, der retter fejlen i selve koden.
Hvordan ved vi, om vi allerede er blevet angrebet?
Tjek om der eksisterer konti i Cap-go med jeres virksomheds e-mailadresser, som ingen af jeres medarbejdere selv har oprettet. Et andet tegn kan være, at en medarbejder forsøger at oprette en konto, men får besked om at e-mailadressen allerede er i brug. Kontakt Cap-go’s support, hvis I mistænker, at en konto er kompromitteret.
Er der risiko for, at angriberen kan se data fra vores organisation?
Ja. Hvis angriberen har overtaget en konto med administratorrettigheder eller organisationsadgang, kan vedkommende potentielt se og ændre data for hele organisationen — ikke kun den enkelte brugers konto. Det gør det særligt vigtigt at handle hurtigt og gennemgå adgangsrettigheder efter opdatering.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Cap-go before 12.128.2 contains an authentication logic flaw that lets an attacker register and control an account bound to a victim’s email address before that email is verified. By enabling two-factor authentication on the pre-registered account, the attacker gains control over the account claimed under the victim’s identity, allowing them to read and modify its state and enforce organization-level policies, while the legitimate user is denied access to the account tied to their own email.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
