CVE-2026-56081
Kritisk

CVE-2026-56081: Kritisk fejl i Cap-go — opdatér nu

Fejl i Cap-go før v12.128.2 lader angribere overtage din e-mailadresse og låse dig ude af din egen konto.

CVSS Score
9.1
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

Cap-go er en platform til virksomhedsstyring og brugerkonti. I versioner før 12.128.2 er der en fejl i den logik, der tjekker om en e-mailadresse er bekræftet, inden en konto oprettes. Det betyder, at en angriber kan registrere en konto med din e-mailadresse, inden du selv gør det. Når angriberen efterfølgende aktiverer to-faktor-godkendelse (et ekstra sikkerhedstrin) på den kaprede konto, er du låst ude — selv om adressen egentlig er din. Angriberen kan derefter læse og ændre kontoens indhold og sætte politikker for hele din organisation.

Hvem rammer det?

Alle virksomheder og enkeltpersoner, der bruger Cap-go i en version ældre end 12.128.2. Risikoen er særligt høj, hvis din organisation er ved at oprette nye brugerkonti, onboarde medarbejdere eller har e-mailadresser, der er offentligt kendte — f.eks. fra jeres hjemmeside eller LinkedIn. Angriberen behøver ingen forudgående adgang til jeres systemer.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan følgende ske:

  • Kontoovertag: Angriberen kontrollerer en konto, der fremstår som din eller en medarbejders.
  • Datalæk: Alt indhold knyttet til kontoen — dokumenter, beskeder, indstillinger — kan læses af angriberen.
  • Manipulation: Angriberen kan ændre kontoens data og indstillinger.
  • Organisationspolitikker: Angriberen kan håndhæve regler for hele din organisation via den kaprede konto.
  • Udelukkelse: Den rigtige ejer af e-mailadressen kan slet ikke oprette sin konto og mister adgang til tjenesten.

Hvor alvorligt er det?

Sårbarheden er vurderet kritisk med en CVSS-score på 9,1 ud af 10. Det skyldes, at angrebet kan udføres over internettet uden særlige tekniske forudsætninger, uden at offeret behøver at gøre noget, og uden at angriberen har brug for nogen form for forudgående adgang. Fortrolighed og integritet (mulighed for at læse og ændre data) er begge alvorligt truet. Det eneste, der trækker ned fra maksimumscoren, er at tjenestens tilgængelighed (om systemet kører) ikke påvirkes direkte.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt:

  1. Find ud af, hvilken version I bruger: Tjek jeres Cap-go-installation eller spørg den ansvarlige for jeres IT-opsætning, hvilken version der er installeret.
  2. Opdatér til version 12.128.2 eller nyere: Dette er den eneste fuldstændige løsning. Opdateringen lukker fejlen i registreringslogikken.
  3. Gennemgå eksisterende konti: Kontrollér om der er oprettet konti med jeres virksomheds e-mailadresser, som I ikke selv har oprettet. Mistænkelige konti bør slettes eller spærres.
  4. Orienter medarbejdere: Informér relevante medarbejdere om, at de skal verificere, at de har fuld adgang til deres egne konti og ikke er låst ude.
  5. Kontakt support hvis nødvendigt: Hvis I oplever, at en konto allerede er kompromitteret, bør I kontakte Cap-go’s support med henblik på gendannelse.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Opdatér Cap-go til version 12.128.2 eller nyere hurtigst muligt — helst inden for de næste 24 timer. Fejlen kræver ingen særlige tekniske færdigheder at udnytte, og angribere kan i princippet begynde at misbruge den fra det øjeblik, de bliver bekendt med den. Gennemgå samtidig jeres eksisterende konti for uregelmæssigheder. Hvis I er i tvivl om, om I er berørt, er I velkomne til at kontakte os for en hurtig gennemgang.

Tidslinje

19/06/2026
CVE offentliggjort
NVD (National Vulnerability Database) offentliggør CVE-2026-56081 med kritisk CVSS-score på 9,1. Sårbarheden i Cap-go's registreringslogik beskrives officielt.
19/06/2026
Patch tilgængelig
Cap-go udgiver version 12.128.2, som retter fejlen i bekræftelseslogikken for e-mailadresser. Opdateringen er tilgængelig fra officielle kanaler.
20/06/2026
Proof-of-concept forventet tilgængeligt
Baseret på sårbarhedens enkle angrebsmønster og offentliggørelse forventes der hurtigt at dukke tekniske demonstrationer (proof-of-concept) op i åbne sikkerhedsfora, hvilket øger risikoen for misbrug.

Konkrete eksempler

Angriber overtager ny medarbejderkonto

En virksomhed annoncerer på LinkedIn, at de har ansat en ny HR-chef med e-mailadressen hr@virksomhed.dk. Inden medarbejderen selv opretter sin Cap-go-konto, registrerer en angriber kontoen med samme adresse og aktiverer 2FA. Når HR-chefen forsøger at oprette sin konto, opdager hun, at adressen allerede er i brug — og angriberen har nu fuld adgang til hendes fremtidige arbejdskonto.

Virksomhedsspionage via organisations-administrator

En konkurrent identificerer en virksomheds Cap-go-administrator via en offentlig e-mailadresse. Angriberen registrerer en konto med administratorens adresse, inden vedkommende selv har oprettet den, og aktiverer 2FA. Med administratoradgang kan angriberen herefter læse organisationens interne data, ændre politikker og potentielt låse de rigtige brugere ude af systemet.

Målrettet udelukkelse af leder

En angriber ønsker at forstyrre en virksomheds drift forud for en vigtig forhandling. Ved at kapre direktørens Cap-go-konto med ovenstående metode sikrer angriberen, at direktøren ikke kan tilgå relevante dokumenter og kommunikation i systemet på det kritiske tidspunkt — mens angriberen selv kan overvåge og manipulere indholdet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-640

Original NVD-beskrivelse (engelsk)

Cap-go before 12.128.2 contains an authentication logic flaw that lets an attacker register and control an account bound to a victim’s email address before that email is verified. By enabling two-factor authentication on the pre-registered account, the attacker gains control over the account claimed under the victim’s identity, allowing them to read and modify its state and enforce organization-level policies, while the legitimate user is denied access to the account tied to their own email.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-56081
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.