CVE-2026-56073
Kritisk

CVE-2026-56073: Kritisk Cap-go OTP-bypass sårbarhed

Kritisk fejl i Cap-go lader angribere omgå to-faktor-godkendelse og overtage brugerkonti uden kodeord.

CVSS Score
9.4
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-72 timer

Hvad er det?

Cap-go er et software-framework til at bygge desktop- og mobilapps. I versioner før 12.128.2 er der en alvorlig fejl i den del, der håndterer engangskoder (OTP — de sekscifrede koder du fx modtager på e-mail ved login). Fejlen betyder, at en angriber kan snyde systemet til at tro, at en kode er blevet bekræftet korrekt — uden at kenden den rigtige kode. Det kaldes et authentication bypass (omgåelse af adgangskontrol). Angriberen behøver hverken kodeord eller adgang til ofrets e-mail for at overtage kontoen.

Hvem rammer det?

Fejlen rammer virksomheder og udviklere, der har bygget applikationer ved hjælp af Cap-go i en version ældre end 12.128.2. Hvis din virksomhed bruger en app — internt eller eksternt — der er udviklet med Cap-go, og denne app benytter e-mail-baseret to-faktor-godkendelse (2FA), er du potentielt i risikogruppen. Det gælder uanset om applikationen er en kunde-app, en medarbejder-portal eller et internt administrationsværktøj.

Hvad kan ske?

En angriber, der udnytter fejlen, kan:

  • Overtage brugerkonti uden at kende kodeord eller have adgang til ofrets e-mail.
  • Aktivere to-faktor-godkendelse på vegne af offeret, og dermed låse den legitime bruger ude af sin egen konto.
  • Få adgang til fortrolige data i applikationen — fx kundeoplysninger, ordrehistorik, interne dokumenter.
  • Foretage handlinger i applikationen som om de var den rigtige bruger — herunder ændre indstillinger, overføre data eller eskalere rettigheder.

Angrebet kræver, at angriberen kan aflytte og manipulere netværkstrafik (et såkaldt man-in-the-middle-angreb), typisk på usikrede netværk eller ved hjælp af malware på netværket.

Hvor alvorligt er det?

CVSS-scoren er 9.4 ud af 10 — kritisk. Det afspejler følgende:

  • Angreb sker over internettet — ingen fysisk adgang nødvendig.
  • Lav kompleksitet — angrebet er ikke teknisk svært at udføre.
  • Ingen rettigheder eller brugerinteraktion kræves — angriberen behøver ikke en konto eller at narre nogen til at klikke på noget.
  • Høj fortroligheds- og integritetspåvirkning — data kan både læses og manipuleres.

CWE-345 dækker over utilstrækkelig verifikation af datas ægthed — systemet stoler blindt på et svar, det selv modtager, uden at validere om svaret er ægte.

Hvad gør jeg nu?

Hvis din virksomhed bruger applikationer bygget med Cap-go, bør du straks tage følgende skridt:

  1. Find ud af hvilken version af Cap-go din app bruger. Spørg din app-udvikler eller IT-leverandør om versionsnummeret. Er det under 12.128.2, er du sårbar.
  2. Opdater Cap-go til version 12.128.2 eller nyere. Bed din udvikler eller IT-partner gennemføre opdateringen hurtigst muligt.
  3. Gennemgå logs for mistænkelig aktivitet. Se om der har været usædvanlige logins eller kontoændringer i perioden op til opdateringen.
  4. Overvej midlertidigt at deaktivere e-mail-baseret OTP i applikationen, indtil opdateringen er på plads — og brug en alternativ godkendelsesmetode hvis muligt.
  5. Orienter berørte brugere, hvis der er mistanke om, at konti kan være kompromitterede.
Tidsfrist

Opdater inden for 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 9.4 og ingen krav om forudgående adgang behandler Auroa denne sårbarhed som akut. Du bør kontakte din app-udvikler eller IT-leverandør i dag og få bekræftet, om jeres løsning er opdateret. Vent ikke på den næste planlagte vedligeholdelsesrunde — risikoen for kontoovertag er reel og umiddelbar. Har du ikke en aftalt IT-partner, er du velkommen til at kontakte os for en hurtig vurdering.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2026-56073 offentliggøres i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.4. Sårbarheden beskrives som et authentication bypass i Cap-gos OTP-verifikationsflow.
19/06/2026
Patch frigivet: Cap-go 12.128.2
Cap-go udgiver version 12.128.2, der lukker sårbarheden. Alle brugere af ældre versioner opfordres til øjeblikkelig opdatering.
19/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og proof-of-concept-kode (PoC) for angrebet vurderes at være tilgængeligt i sikkerhedsmiljøet i forbindelse med offentliggørelsen, hvilket øger risikoen for hurtig udnyttelse.
21/06/2026
Kritisk opdateringsfrist
Auroa anbefaler, at alle berørte virksomheder senest på denne dato har bekræftet opdatering til Cap-go 12.128.2 eller nyere og gennemgået adgangslogs for mistænkelig aktivitet.

Konkrete eksempler

Angriber låser bruger ude af egen konto

En angriber identificerer en bruger i en Cap-go-baseret medarbejderportal. Ved at aflytte netværkstrafikken — fx via et kompromitteret Wi-Fi-netværk — manipulerer angriberen HTTP-svaret fra serveren, så OTP-bekræftelsen fremstår som godkendt. Angriberen aktiverer derefter sin egen 2FA-enhed på kontoen, og den legitime medarbejder kan ikke længere logge ind.

Uautoriseret adgang til kundedata

En webshop bruger Cap-go til sin kundeportal, hvor brugere kan se ordrehistorik og gemte betalingskort. En angriber udnytter OTP-bypass-fejlen til at overtage en kundekonto og tilgå persondata, adresser og delvise kortoplysninger — uden at kunden opdager det, før skaden er sket.

Intern eskalering via administratorkonto

I en virksomhed med en internt udviklet Cap-go-app til projektstyring overtager en ekstern angriber en administratorkonto ved hjælp af OTP-bypass. Angriberen ændrer adgangsrettigheder, eksporterer fortrolige projektfiler og planter bagdøre i systemet — alt imens adgangen fremstår legitim i systemloggen.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
LOW

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

CWE-svaghedstyper

CWE-345

Original NVD-beskrivelse (engelsk)

Cap-go before 12.128.2 contains an authentication bypass vulnerability in OTP verification that allows attackers to bypass email verification by modifying server responses. Attackers can intercept OTP verification requests and manipulate HTTP responses to falsely mark verification successful, enabling unauthorized 2FA enablement and account takeover.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-56073
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.