CVE-2026-56082
Alvorlig

CVE-2026-56082: Capgo faktureringsfejl — opdater nu

Ikke-godkendte angribere kan manipulere faktureringsdata i Capgo og påføre virksomheder kunstigt oppustede regninger.

CVSS Score
7.5
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 48 timer

Hvad er det?

Capgo er et system til distribution af app-opdateringer. En fejl i adgangskontrollen (CWE-284) betyder, at en funktion, der burde være beskyttet, er tilgængelig for alle uden login. Funktionen public.record_build_time kan kaldes af hvem som helst med den offentlige API-nøgle — en nøgle der normalt er synlig i klientapplikationer. En angriber kan dermed indsætte eller overskrive poster i systemets byggelogfiler, som bruges til at beregne din faktura.

Hvem rammer det?

Alle virksomheder og udviklere der bruger Capgo (selvhostet eller cloud) i en version ældre end 12.128.2. Capgo bruges primært af teams der bygger mobilapps med Capacitor/Ionic og ønsker over-the-air opdateringer. Sårbarheden påvirker specielt dem der betaler baseret på byggetid eller byggeantal, da det er den type data der kan manipuleres.

Hvad kan ske?

En angriber kan gøre to ting:

  • Manipulere faktureringsdata på tværs af lejere: Angriberen kan skrive falske poster ind i en anden organisations byggelogfiler — det kaldes cross-tenant tampering (på tværs af kundekonti).
  • Økonomisk skade via oppustet byggetid: Ved at genbruge et eksisterende bygge-ID kan angriberen overskrive tidsregistreringer og kunstigt forøge den fakturerbare byggetid, hvilket kan resultere i uventede og ukorrekte regninger.

Fortrolighed og tilgængelighed påvirkes ikke — angriberens mål er dataintegritet og økonomi.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.5 — Alvorlig. Det skyldes at:

  • Angrebet kan udføres over internettet uden konto eller login (ingen autentificering kræves).
  • Det kræver ingen teknisk kompleksitet og ingen handling fra din side.
  • Konsekvensen er høj for dataintegritet — dine faktureringsregistreringer kan ikke stoles på.

Bemærk at der ikke er risiko for datalæk af fortrolig information, og systemet lukkes ikke ned. Skaden er primært finansiel og tillidsbaseret.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt, hvis du bruger Capgo:

  1. Tjek din version: Find ud af hvilken version af Capgo du kører. Er den ældre end 12.128.2, er du sårbar.
  2. Opdater til version 12.128.2 eller nyere: Installer den patchede version via din pakkemanager eller Capgos officielle kanal.
  3. Gennemgå dine byggelogfiler: Kig på dine seneste faktureringsposter og byggelogfiler for usædvanlige eller ukendte poster — særligt poster med høj byggetid du ikke kan genkende.
  4. Kontakt Capgo-support: Hvis du finder mistænkelige poster, kontakt Capgos support og din betalingsudbyder for at få korrigeret eventuelle forkerte opkrævninger.
  5. Overvej adgangsbegrænsning: Hvis du selvhoster Capgo, kan du midlertidigt begrænse adgang til det relevante API-endpoint i din firewall, indtil patchen er installeret.
Tidsfrist

Opdater inden for 48 timer

Sådan ser Auroa det

Opdater Capgo til version 12.128.2 hurtigst muligt — helst inden for de næste 48 timer. Sårbarheden er nem at udnytte for enhver med kendskab til den offentlige API-nøgle, og den kan have direkte økonomisk konsekvens for din virksomhed. Gennemgå dine byggelogfiler efter opdateringen for at sikre, at ingen manipulation har fundet sted, og kontakt din betalingsudbyder, hvis du ser uregelmæssigheder.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2026-56082 blev offentliggjort i NVD med en CVSS-score på 7.5 (Alvorlig). Fejlen beskrives som en manglende adgangskontrol i en Supabase RPC-funktion i Capgo.
19/06/2026
Patch frigivet — version 12.128.2
Capgo udgav version 12.128.2, der lukker sårbarheden ved at rette adgangsstyringen på funktionen public.record_build_time, så den ikke længere er tilgængelig for anonyme kald.
19/06/2026
Proof-of-concept teknisk tilgængeligt
Da angrebet kræver minimale forudsætninger og den offentlige API-nøgle er tilgængelig i klientapplikationer, vurderes det at udnyttelse er teknisk triviel og kan eftergøres kort tid efter offentliggørelsen.

Konkrete eksempler

Oppustet faktura via falsk byggetid

En angriber finder den offentlige Supabase anon-nøgle i en Capgo-baseret mobilapps netværkstrafik. Med denne nøgle kalder angriberen gentagne gange public.record_build_time med dit organisations-ID og registrerer tusindvis af timers fiktiv byggetid. Næste måned modtager din virksomhed en uventet regning, der er mange gange større end normalt.

Overskrivning af eksisterende byggepost

En konkurrent eller ondsindet aktør identificerer et gyldigt bygge-ID fra din organisation — f.eks. via en offentlig app-opdatering. Vedkommende genbruger dette ID i et angrebskald og overskriver den reelle byggetid med en kunstigt høj værdi. Din fakturering reflekterer nu ukorrekte data, og det kan være svært at bevise over for din betalingsudbyder, hvad der rent faktisk skete.

Tværorganisatorisk dataforfalskning

En angriber med adgang til én Capgo anon-nøgle forsøger systematisk at indsætte poster i byggelogfiler for andre organisationer end sin egen ved at gætte eller indsamle organisations-ID’er. Dette skaber rod i faktureringsdata på tværs af Capgos kundebase og kan udløse betalingstvister og tillidssvigt hos adskillige virksomheder på én gang.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CWE-svaghedstyper

CWE-284

Original NVD-beskrivelse (engelsk)

Capgo (Cap-go/capgo) before 12.128.2 contains an improper access control vulnerability in the SECURITY DEFINER PostgREST RPC function public.record_build_time, which is granted to the anon role and callable with only the public Supabase publishable (sb_publishable_*) anon key. An unauthenticated attacker can insert rows into public.build_logs for arbitrary organizations and, because the function uses ON CONFLICT (build_id, org_id) DO UPDATE, can overwrite existing usage/billing records by reusing the same build_id for a target org. This enables cross-tenant tampering of billing build logs and financial-impact denial of service by inflating billable build time.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-56082
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.