CVE-2026-56215
Alvorlig

CVE-2026-56215: Capgo SSO-kontoovertag – hvad du skal vide

Fejl i Capgo lader en angriber overtage din medarbejders konto ved at manipulere e-mailadressen i systemet.

CVSS Score
8.3
Offentliggjort
20/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Capgo er et system til opdatering af mobilapps (over-the-air updates). En fejl i versioner før 12.128.12 gør det muligt for en bruger med en almindelig konto at ændre sin e-mailadresse til en vilkårlig adresse — for eksempel en kollegas arbejdsmail. Når offeret efterfølgende logger ind via virksomhedens SSO (Single Sign-On, dvs. fælles login), tror systemet fejlagtigt, at det er den samme konto, og slår de to konti sammen. Resultatet er, at angriberen overtager offerets konto og alle dens rettigheder.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Capgo til at distribuere app-opdateringer og samtidig anvender SSO (fælles login via f.eks. Microsoft Entra, Google Workspace eller Okta). Det kræver, at angriberen allerede har en gyldig konto i Capgo — men det kan være en tidligere medarbejder, en ekstern samarbejdspartner eller en lavprivilegeret bruger.

Hvad kan ske?

En angriber kan overtage en anden brugers konto — herunder administratorer — og dermed få fuld adgang til jeres app-distributionsmiljø. Det betyder, at angriberen potentielt kan:

  • Skubbe ondsindede opdateringer ud til slutbrugere af jeres app
  • Tilgå følsomme oplysninger og konfigurationer gemt i Capgo
  • Ændre eller slette eksisterende app-versioner
  • Operere skjult under offerets identitet, hvilket gør sporbarhed vanskelig

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.3 ud af 10 (Alvorlig) af NVD. Den er nem at udnytte: angriberen behøver ikke særlige tekniske færdigheder, og angrebet kan udføres over internettet uden at kræve handlinger fra offerets side. Fortrolighed og integritet (adgang og mulighed for at ændre data) er begge i høj risiko. Tilgængelighed (at systemet kører) vurderes som mindre påvirket.

Hvad gør jeg nu?

Opdater Capgo hurtigst muligt og gennemgå adgange i mellemtiden:

  1. Opdater Capgo til version 12.128.12 eller nyere — dette er den vigtigste handling og bør prioriteres straks.
  2. Gennemgå brugerlisterne i Capgo og identificer konti med adgang, der ikke længere er nødvendig (f.eks. tidligere ansatte eller partnere).
  3. Tjek logfiler for usædvanlige konto-sammenlægninger eller ændringer af e-mailadresser de seneste måneder.
  4. Suspender eller deaktiver ukendte/mistænkelige konti midlertidigt, mens I undersøger situationen.
  5. Informér jeres IT-ansvarlige eller leverandør, hvis I er i tvivl om, hvorvidt I har været udsat for et angreb.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Opdater Capgo til version 12.128.12 eller nyere så hurtigt som muligt — helst inden for de næste 24 timer. Fejlen er let at udnytte af enhver med en konto i systemet, og konsekvenserne kan være alvorlige, hvis jeres app-distribution kompromitteres. Gennemgå samtidig, hvem der har adgang til Capgo, og fjern konti der ikke længere er nødvendige.

Tidslinje

20/06/2026
CVE offentliggjort
NVD offentliggør CVE-2026-56215 med en CVSS-score på 8.3 (Alvorlig). Sårbarheden beskrives som en fejl i Capgos e-mailhåndtering ved SSO-provisioning.
20/06/2026
Patch tilgængelig i Capgo 12.128.12
Capgo udgiver version 12.128.12, som retter fejlen. Brugere opfordres til at opdatere straks.
20/06/2026
Proof-of-concept kendt
Sårbarheden er kategoriseret som proof-of-concept tilgængelig, hvilket betyder, at fremgangsmåden for udnyttelse er dokumenteret og potentielt tilgængelig for angribere.

Konkrete eksempler

Tidligere medarbejder overtager administrators konto

En tidligere IT-medarbejder har stadig en aktiv Capgo-konto. Han ændrer sin e-mailadresse i Capgo til virksomhedens nuværende IT-administrators arbejdsmail. Næste gang administratoren logger ind via SSO, slår Capgo de to konti sammen, og den tidligere medarbejder har nu fuld adgang til app-distributionsmiljøet — uden at nogen opdager det med det samme.

Ondsindet app-opdatering sendes til slutbrugere

En angriber med en lavprivilegeret Capgo-konto bruger fejlen til at overtage en udviklerkonto med rettigheder til at udgive app-opdateringer. Angriberen skubber derefter en manipuleret version af virksomhedens app ud til alle brugere, som indeholder skjult spyware. Slutbrugerne opdaterer automatisk og ved intet om kompromitteringen.

Ekstern konsulent misbruger adgang

En ekstern konsulent, der har fået midlertidig adgang til Capgo, positionerer sin konto med en ledende medarbejders SSO-email. Når kontrakten udløber og konsulentkontoen ikke slettes, kan konsulenten vente på, at offeret logger ind via SSO og derved automatisk overtage dennes konto og de tilknyttede rettigheder.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
LOW

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

CWE-svaghedstyper

CWE-639

Original NVD-beskrivelse (engelsk)

Capgo before 12.128.12 allows authenticated users to modify their mutable public.users.email to arbitrary addresses, which the SSO provisioning endpoint trusts as an account-merge key. Attackers can pre-position their account with a victim’s corporate SSO email, causing the provision-user endpoint to merge the victim’s SSO identity into the attacker-controlled account.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-56215
Offentliggjort
20/06/2026
Sidst opdateret
20/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.