CVE-2026-56214: Capgo lækker organisationsdata
Capgo-fejl lækker firmaoplysninger: uvedkommende kan kortlægge organisationer og fakturastatus uden at logge ind.
Hvad er det?
CVE-2026-56214 er en informationslækage-sårbarhed (en fejl der afslører data, der burde være skjult) i Capgo — et værktøj til over-the-air opdateringer af mobilapps. Fejlen sidder i to åbne API-endepunkter (adgangspunkter til systemet) kaldet is_trial_org og is_paying_org. Disse endepunkter kan kaldes af alle uden login, fordi de accepterer en offentlig nøgle (publishable key). Det betyder, at en angriber systematisk kan spørge systemet om en organisation eksisterer, og om den betaler for Capgo — uden at have nogen form for adgang i forvejen.
Hvem rammer det?
Sårbarheden rammer virksomheder og udviklere, der bruger Capgo i version ældre end 12.128.2 til at distribuere app-opdateringer. Det gælder særligt:
- Virksomheder der har oprettet en organisation i Capgo
- Betalende kunder, hvis fakturastatus kan afsløres
- App-udviklere der anvender Capgo’s Supabase-backend
Kører du ikke Capgo selv, men bruger en app der er bygget med Capgo, er du ikke direkte berørt.
Hvad kan ske?
En angriber kan udnytte fejlen til to ting:
- Kortlægge organisationer: Ved at sende forespørgsler til API’et kan angriberen bekræfte, om en bestemt organisation findes i Capgo — blot ved at se på, om svaret er forskelligt.
- Identificere betalende kunder: Angriberen kan se, om organisationen er på en betalt plan. Det giver mulighed for målrettet phishing (falske mails der udgiver sig for at være Capgo eller en leverandør) eller andre angreb rettet mod kunder med aktive abonnementer.
Selve systemet kompromitteres ikke direkte — angriberen kan ikke ændre data eller overtage konti — men oplysningerne kan bruges som afsæt for et mere målrettet angreb.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.5 ud af 10 — Alvorlig. Den er nem at udnytte: ingen login kræves, den kan tilgås over internettet, og der kræves ingen særlig teknisk kunnen. Påvirkningen er begrænset til fortrolighed (dine data kan læses/kortlægges), mens selve systemets funktion og dataintegritet ikke påvirkes direkte. Det er dog vigtigt at forstå, at eksponerede organisationsdata og betalingsstatus kan bruges til social engineering og målrettede angreb mod netop din virksomhed.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, hvis du bruger Capgo:
- Tjek din Capgo-version: Log ind i dit Capgo-dashboard eller se din
package.jsonfor at finde den installerede version. - Opdater til version 12.128.2 eller nyere: Kør opdateringen via din pakkehåndtering (f.eks.
npm update capgo) eller følg Capgos officielle opgraderingsvejledning. - Gennemgå adgangslogge: Se om der har været usædvanligt mange kald til endepunkterne
is_trial_orgelleris_paying_orgde seneste uger. - Orienter relevante kolleger: Gør din IT-ansvarlige eller leverandør opmærksom på opdateringen, hvis I ikke selv håndterer Capgo-infrastrukturen.
- Vær opmærksom på phishing: Hvis jeres organisation er eksponeret, kan I modtage målrettede falske henvendelser. Gør medarbejdere opmærksomme på dette.
Opdater inden for 7 dage
Opdater Capgo til version 12.128.2 eller nyere så hurtigt som muligt — det er en simpel softwareopdatering, der lukker hullet. Selvom angriberen ikke direkte kan overtage jeres system, giver lækagen præcis nok information til, at jeres virksomhed kan blive udpeget som mål for et mere avanceret angreb. Vær særligt opmærksom på mistænkelige mails eller henvendelser, der udgiver sig for at komme fra Capgo eller relaterede leverandører, da betalende kunder er særligt attraktive mål.
Tidslinje
Konkrete eksempler
Automatisk kortlægning af Capgo-kunder
En angriber skriver et simpelt script, der systematisk sender forespørgsler til Capgos åbne API med kendte eller gættede organisationsnavne. Fordi endepunktet svarer forskelligt, alt efter om organisationen findes eller ej, kan angriberen på få minutter opbygge en liste over eksisterende Capgo-kunder — helt uden login og uden at efterlade tydelige spor.
Målrettet phishing mod betalende kunder
Efter at have identificeret, at din virksomhed er betalende Capgo-kunde, sender en angriber en overbevisende phishing-mail, der udgiver sig for at være fra Capgo: ‘Din betaling er mislykket — klik her for at opdatere dine kortoplysninger.’ Fordi angriberen ved, at I netop er betalende kunde, virker mailen troværdig og øger chancen for, at en medarbejder klikker.
Konkurrencemæssig efterretning
En konkurrent eller ondsindet aktør bruger sårbarheden til at bekræfte, hvilke virksomheder der anvender Capgo som platform, og om de er på betalte planer. Disse oplysninger kan bruges til at kortlægge konkurrenters teknologistak eller sælge listen videre til andre angribere med interesse i netop Capgo-brugere.
Ofte stillede spørgsmål
Skal vi selv gøre noget, eller klarer Capgo det automatisk?
I skal selv opdatere. Capgo har udgivet en rettet version (12.128.2), men opdateringen sker ikke automatisk på jeres servere eller i jeres kode. I skal aktivt opgradere pakken i jeres projekt og geninstallere.
Kan vi se, om nogen allerede har udnyttet sårbarheden mod os?
Ja, delvist. Kig i jeres server- eller API-logge efter usædvanligt mange kald til endepunkterne
is_trial_orgogis_paying_org. Mange gentagne kald fra samme IP-adresse eller på kort tid kan tyde på scanning. Kontakt os, hvis I er i tvivl om, hvad I ser.Hvad er risikoen, hvis vi ikke opdaterer med det samme?
Risikoen er, at jeres organisation fortsat kan kortlægges og identificeres som betalende kunde. Det i sig selv er ikke katastrofalt, men det øger sandsynligheden for målrettede phishing-angreb og social engineering. Jo længere I venter, desto større er chancen for, at jeres data allerede er indsamlet af en angriber.
Vi bruger en app der er bygget med Capgo — er vi i fare?
Nej, ikke direkte. Slutbrugere af apps bygget med Capgo er ikke berørt. Sårbarheden handler om de organisationer (virksomheder), der administrerer og driver Capgo — ikke om de brugere, der downloader app-opdateringer via Capgo.
Hvad er en 'publishable key', og hvorfor er det et problem at den er offentlig?
En publishable key (offentlig nøgle) er en kode, der normalt må være synlig — f.eks. i frontend-kode eller mobilapps — fordi den ikke giver adgang til følsomme funktioner. Problemet her er, at Capgos API fejlagtigt accepterede denne nøgle til at kalde endepunkter, der burde kræve fuld login. Det er som at bruge en hovednøgle, der egentlig kun burde åbne postkassen, til at komme ind i hele bygningen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Capgo before 12.128.2 contains an information disclosure vulnerability in Supabase PostgREST RPC endpoints is_trial_org and is_paying_org that allows unauthenticated attackers to enumerate organizations and disclose billing status using the public sb_publishable key. Attackers can invoke these endpoints to determine organization existence via distinguishable return values and identify paying customers for targeted profiling.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
