CVE-2026-56214
Alvorlig

CVE-2026-56214: Capgo lækker organisationsdata

Capgo-fejl lækker firmaoplysninger: uvedkommende kan kortlægge organisationer og fakturastatus uden at logge ind.

CVSS Score
7.5
Offentliggjort
20/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

CVE-2026-56214 er en informationslækage-sårbarhed (en fejl der afslører data, der burde være skjult) i Capgo — et værktøj til over-the-air opdateringer af mobilapps. Fejlen sidder i to åbne API-endepunkter (adgangspunkter til systemet) kaldet is_trial_org og is_paying_org. Disse endepunkter kan kaldes af alle uden login, fordi de accepterer en offentlig nøgle (publishable key). Det betyder, at en angriber systematisk kan spørge systemet om en organisation eksisterer, og om den betaler for Capgo — uden at have nogen form for adgang i forvejen.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere, der bruger Capgo i version ældre end 12.128.2 til at distribuere app-opdateringer. Det gælder særligt:

  • Virksomheder der har oprettet en organisation i Capgo
  • Betalende kunder, hvis fakturastatus kan afsløres
  • App-udviklere der anvender Capgo’s Supabase-backend

Kører du ikke Capgo selv, men bruger en app der er bygget med Capgo, er du ikke direkte berørt.

Hvad kan ske?

En angriber kan udnytte fejlen til to ting:

  • Kortlægge organisationer: Ved at sende forespørgsler til API’et kan angriberen bekræfte, om en bestemt organisation findes i Capgo — blot ved at se på, om svaret er forskelligt.
  • Identificere betalende kunder: Angriberen kan se, om organisationen er på en betalt plan. Det giver mulighed for målrettet phishing (falske mails der udgiver sig for at være Capgo eller en leverandør) eller andre angreb rettet mod kunder med aktive abonnementer.

Selve systemet kompromitteres ikke direkte — angriberen kan ikke ændre data eller overtage konti — men oplysningerne kan bruges som afsæt for et mere målrettet angreb.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.5 ud af 10 — Alvorlig. Den er nem at udnytte: ingen login kræves, den kan tilgås over internettet, og der kræves ingen særlig teknisk kunnen. Påvirkningen er begrænset til fortrolighed (dine data kan læses/kortlægges), mens selve systemets funktion og dataintegritet ikke påvirkes direkte. Det er dog vigtigt at forstå, at eksponerede organisationsdata og betalingsstatus kan bruges til social engineering og målrettede angreb mod netop din virksomhed.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt, hvis du bruger Capgo:

  1. Tjek din Capgo-version: Log ind i dit Capgo-dashboard eller se din package.json for at finde den installerede version.
  2. Opdater til version 12.128.2 eller nyere: Kør opdateringen via din pakkehåndtering (f.eks. npm update capgo) eller følg Capgos officielle opgraderingsvejledning.
  3. Gennemgå adgangslogge: Se om der har været usædvanligt mange kald til endepunkterne is_trial_org eller is_paying_org de seneste uger.
  4. Orienter relevante kolleger: Gør din IT-ansvarlige eller leverandør opmærksom på opdateringen, hvis I ikke selv håndterer Capgo-infrastrukturen.
  5. Vær opmærksom på phishing: Hvis jeres organisation er eksponeret, kan I modtage målrettede falske henvendelser. Gør medarbejdere opmærksomme på dette.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Opdater Capgo til version 12.128.2 eller nyere så hurtigt som muligt — det er en simpel softwareopdatering, der lukker hullet. Selvom angriberen ikke direkte kan overtage jeres system, giver lækagen præcis nok information til, at jeres virksomhed kan blive udpeget som mål for et mere avanceret angreb. Vær særligt opmærksom på mistænkelige mails eller henvendelser, der udgiver sig for at komme fra Capgo eller relaterede leverandører, da betalende kunder er særligt attraktive mål.

Tidslinje

20/06/2026
CVE offentliggjort
NVD offentliggør CVE-2026-56214 med en CVSS-score på 7.5 (Alvorlig). Sårbarheden beskrives som en informationslækage i Capgos åbne RPC-endepunkter.
20/06/2026
Patch tilgængelig
Capgo udgiver version 12.128.2, der lukker de sårbare endepunkter. Brugere opfordres til straks at opgradere fra alle tidligere versioner.
21/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og proof-of-concept-eksempler på udnyttelse af sårbarheden cirkulerer offentligt, hvilket sænker tærsklen for angreb markant.
27/06/2026
Anbefalet opdateringsfrist
Auroras anbefalede frist for at have opdateret til version 12.128.2 eller nyere. Systemer der stadig kører ældre versioner bør anses for eksponerede.

Konkrete eksempler

Automatisk kortlægning af Capgo-kunder

En angriber skriver et simpelt script, der systematisk sender forespørgsler til Capgos åbne API med kendte eller gættede organisationsnavne. Fordi endepunktet svarer forskelligt, alt efter om organisationen findes eller ej, kan angriberen på få minutter opbygge en liste over eksisterende Capgo-kunder — helt uden login og uden at efterlade tydelige spor.

Målrettet phishing mod betalende kunder

Efter at have identificeret, at din virksomhed er betalende Capgo-kunde, sender en angriber en overbevisende phishing-mail, der udgiver sig for at være fra Capgo: ‘Din betaling er mislykket — klik her for at opdatere dine kortoplysninger.’ Fordi angriberen ved, at I netop er betalende kunde, virker mailen troværdig og øger chancen for, at en medarbejder klikker.

Konkurrencemæssig efterretning

En konkurrent eller ondsindet aktør bruger sårbarheden til at bekræfte, hvilke virksomheder der anvender Capgo som platform, og om de er på betalte planer. Disse oplysninger kan bruges til at kortlægge konkurrenters teknologistak eller sælge listen videre til andre angribere med interesse i netop Capgo-brugere.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-200

Original NVD-beskrivelse (engelsk)

Capgo before 12.128.2 contains an information disclosure vulnerability in Supabase PostgREST RPC endpoints is_trial_org and is_paying_org that allows unauthenticated attackers to enumerate organizations and disclose billing status using the public sb_publishable key. Attackers can invoke these endpoints to determine organization existence via distinguishable return values and identify paying customers for targeted profiling.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-56214
Offentliggjort
20/06/2026
Sidst opdateret
20/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.