CVE-2026-56082: Capgo faktureringsfejl — opdater nu
Ikke-godkendte angribere kan manipulere faktureringsdata i Capgo og påføre virksomheder kunstigt oppustede regninger.
Hvad er det?
Capgo er et system til distribution af app-opdateringer. En fejl i adgangskontrollen (CWE-284) betyder, at en funktion, der burde være beskyttet, er tilgængelig for alle uden login. Funktionen public.record_build_time kan kaldes af hvem som helst med den offentlige API-nøgle — en nøgle der normalt er synlig i klientapplikationer. En angriber kan dermed indsætte eller overskrive poster i systemets byggelogfiler, som bruges til at beregne din faktura.
Hvem rammer det?
Alle virksomheder og udviklere der bruger Capgo (selvhostet eller cloud) i en version ældre end 12.128.2. Capgo bruges primært af teams der bygger mobilapps med Capacitor/Ionic og ønsker over-the-air opdateringer. Sårbarheden påvirker specielt dem der betaler baseret på byggetid eller byggeantal, da det er den type data der kan manipuleres.
Hvad kan ske?
En angriber kan gøre to ting:
- Manipulere faktureringsdata på tværs af lejere: Angriberen kan skrive falske poster ind i en anden organisations byggelogfiler — det kaldes cross-tenant tampering (på tværs af kundekonti).
- Økonomisk skade via oppustet byggetid: Ved at genbruge et eksisterende bygge-ID kan angriberen overskrive tidsregistreringer og kunstigt forøge den fakturerbare byggetid, hvilket kan resultere i uventede og ukorrekte regninger.
Fortrolighed og tilgængelighed påvirkes ikke — angriberens mål er dataintegritet og økonomi.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.5 — Alvorlig. Det skyldes at:
- Angrebet kan udføres over internettet uden konto eller login (ingen autentificering kræves).
- Det kræver ingen teknisk kompleksitet og ingen handling fra din side.
- Konsekvensen er høj for dataintegritet — dine faktureringsregistreringer kan ikke stoles på.
Bemærk at der ikke er risiko for datalæk af fortrolig information, og systemet lukkes ikke ned. Skaden er primært finansiel og tillidsbaseret.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, hvis du bruger Capgo:
- Tjek din version: Find ud af hvilken version af Capgo du kører. Er den ældre end 12.128.2, er du sårbar.
- Opdater til version 12.128.2 eller nyere: Installer den patchede version via din pakkemanager eller Capgos officielle kanal.
- Gennemgå dine byggelogfiler: Kig på dine seneste faktureringsposter og byggelogfiler for usædvanlige eller ukendte poster — særligt poster med høj byggetid du ikke kan genkende.
- Kontakt Capgo-support: Hvis du finder mistænkelige poster, kontakt Capgos support og din betalingsudbyder for at få korrigeret eventuelle forkerte opkrævninger.
- Overvej adgangsbegrænsning: Hvis du selvhoster Capgo, kan du midlertidigt begrænse adgang til det relevante API-endpoint i din firewall, indtil patchen er installeret.
Opdater inden for 48 timer
Opdater Capgo til version 12.128.2 hurtigst muligt — helst inden for de næste 48 timer. Sårbarheden er nem at udnytte for enhver med kendskab til den offentlige API-nøgle, og den kan have direkte økonomisk konsekvens for din virksomhed. Gennemgå dine byggelogfiler efter opdateringen for at sikre, at ingen manipulation har fundet sted, og kontakt din betalingsudbyder, hvis du ser uregelmæssigheder.
Tidslinje
Konkrete eksempler
Oppustet faktura via falsk byggetid
En angriber finder den offentlige Supabase anon-nøgle i en Capgo-baseret mobilapps netværkstrafik. Med denne nøgle kalder angriberen gentagne gange public.record_build_time med dit organisations-ID og registrerer tusindvis af timers fiktiv byggetid. Næste måned modtager din virksomhed en uventet regning, der er mange gange større end normalt.
Overskrivning af eksisterende byggepost
En konkurrent eller ondsindet aktør identificerer et gyldigt bygge-ID fra din organisation — f.eks. via en offentlig app-opdatering. Vedkommende genbruger dette ID i et angrebskald og overskriver den reelle byggetid med en kunstigt høj værdi. Din fakturering reflekterer nu ukorrekte data, og det kan være svært at bevise over for din betalingsudbyder, hvad der rent faktisk skete.
Tværorganisatorisk dataforfalskning
En angriber med adgang til én Capgo anon-nøgle forsøger systematisk at indsætte poster i byggelogfiler for andre organisationer end sin egen ved at gætte eller indsamle organisations-ID’er. Dette skaber rod i faktureringsdata på tværs af Capgos kundebase og kan udløse betalingstvister og tillidssvigt hos adskillige virksomheder på én gang.
Ofte stillede spørgsmål
Skal jeg have en konto for at blive ramt?
Nej — og det er netop problemet. En angriber behøver hverken konto eller adgangskode. Den offentlige API-nøgle (kaldet anon key) er nok, og den er typisk synlig i mobilappens kildekode eller trafik. Det gør angrebet tilgængeligt for enhver med lidt teknisk viden.
Kan mine kunders data blive lækket?
Nej. Sårbarheden giver ikke adgang til fortrolige data. Angriberen kan kun skrive til og overskrive byggelogfiler — ikke læse private oplysninger. Risikoen er primært at dine faktureringsdata forfalskes.
Hvordan ved jeg om nogen allerede har manipuleret mine data?
Kig i din Capgo-administrationsoverflade under byggelogfiler og faktureringshistorik. Ser du poster med usædvanligt høj byggetid, ukendte bygge-ID’er eller aktivitet på tidspunkter uden for din normale arbejdstid, bør du undersøge nærmere og kontakte Capgos support.
Hvad hvis jeg bruger Capgos cloud-løsning og ikke selv hoster?
Du er stadig afhængig af at Capgo har opdateret deres cloud-infrastruktur. Tjek med Capgo om de allerede kører version 12.128.2 eller nyere på deres servere. Selv hvis du ikke selv installerer software, bør du overvåge dine faktureringsdata tæt i perioden.
Er der en nem måde at beskytte sig på, mens jeg venter på at opdatere?
Hvis du selvhoster, kan du midlertidigt blokere adgang til funktionen public.record_build_time i din firewall eller netværkskonfiguration. Det stopper angrebet uden at du behøver at ændre selve Capgo-installationen — men det er kun en midlertidig løsning. Opdatering er den rette løsning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Capgo (Cap-go/capgo) before 12.128.2 contains an improper access control vulnerability in the SECURITY DEFINER PostgREST RPC function public.record_build_time, which is granted to the anon role and callable with only the public Supabase publishable (sb_publishable_*) anon key. An unauthenticated attacker can insert rows into public.build_logs for arbitrary organizations and, because the function uses ON CONFLICT (build_id, org_id) DO UPDATE, can overwrite existing usage/billing records by reusing the same build_id for a target org. This enables cross-tenant tampering of billing build logs and financial-impact denial of service by inflating billable build time.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
