CVE-2026-56216
Alvorlig

CVE-2026-56216: Kritisk Capgo API-nøgle sårbarhed

En fejl i Capgo lader angribere opgradere en begrænset API-nøgle til fuld adgang på tværs af hele organisationen.

CVSS Score
8.8
Offentliggjort
20/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Capgo er en platform til live-opdatering af mobilapps. I versioner før 12.128.2 er der en fejl i det endpoint (adgangspunkt), der opretter API-nøgler (digitale adgangskoder til systemet). En angriber med en begrænset API-nøgle — typisk én der kun må tilgå én bestemt app — kan udnytte fejlen til at oprette en ny nøgle uden nogen begrænsninger. Det sker ved at sende en tom liste af rettigheder, som systemet fejlagtigt tolker som ‘alle rettigheder’. Resultatet er, at angriberen pludselig har fuld adgang til hele organisationens ressourcer i Capgo.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere, der bruger Capgo til at levere live-opdateringer til deres mobilapps. Hvis I anvender Capgo, og nogen — eksempelvis en leverandør, en tidligere medarbejder eller et kompromitteret system — har adgang til en app-begrænset API-nøgle, er I i risikozonen. Det kræver ikke, at angriberen sidder fysisk hos jer; angrebet foregår over internettet.

Hvad kan ske?

En angriber, der udnytter fejlen, kan:

  • Få fuld adgang til alle jeres apps og opdateringskanaler i Capgo
  • Manipulere eller erstatte app-opdateringer, så jeres brugere modtager skadeligt indhold
  • Tilgå og eksportere følsomme oplysninger om jeres appstruktur og brugere
  • Oprette yderligere uautoriserede nøgler, der giver vedvarende adgang — selv efter I har opdaget indtrængen

Konsekvenserne kan være alvorlige: kompromitterede mobilapps over for jeres kunder, databrud og mulig overtrædelse af GDPR.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er en høj score, fordi:

  • Angrebet kan udføres over internettet uden fysisk adgang
  • Det kræver kun lavt niveau af eksisterende adgang (en begrænset API-nøgle)
  • Angriberen behøver ingen hjælp fra jer eller jeres medarbejdere for at gennemføre angrebet
  • Både fortrolighed, integritet og tilgængelighed af jeres data er i fare

Fejltypen hedder CWE-269 (Improper Privilege Management) — altså at systemet ikke håndterer adgangsrettigheder korrekt.

Hvad gør jeg nu?

Opdater Capgo hurtigst muligt og gennemgå jeres API-nøgler. Følg disse trin:

  1. Opdater Capgo til version 12.128.2 eller nyere — dette lukker sårbarheden. Tjek jeres nuværende version i Capgo-dashboardet eller hos den der administrerer platformen for jer.
  2. Gennemgå alle eksisterende API-nøgler — log ind på Capgo og slet eller deaktiver nøgler, der ikke længere er i brug, eller som I ikke kan genkende.
  3. Roter (udskift) alle API-nøgler — opret nye nøgler og erstat de gamle, særligt hvis I ikke er sikre på, at de hidtil har været beskyttet.
  4. Tjek adgangslogge — se om der har været usædvanlig aktivitet på jeres konto, f.eks. oprettelse af nye nøgler eller adgang til ressourcer, I ikke genkender.
  5. Orientér relevante samarbejdspartnere — hvis leverandører eller tredjeparter har adgang til jeres Capgo-miljø via API-nøgler, skal de informeres og deres nøgler udskiftes.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at I opdaterer Capgo til version 12.128.2 eller nyere straks. Sårbarheden er nem at udnytte for en angriber med selv begrænset adgang, og konsekvenserne kan ramme alle jeres app-brugere direkte. Hvis I er i tvivl om, hvordan I håndterer opdateringen eller gennemgangen af API-nøgler, er I velkomne til at kontakte os — vi hjælper jer hurtigt igennem processen.

Tidslinje

20/06/2026
CVE-2026-56216 offentliggjort
Sårbarheden blev officielt registreret og offentliggjort i NVD-databasen (National Vulnerability Database) med en CVSS-score på 8.8 (Alvorlig).
20/06/2026
Patch frigivet i Capgo 12.128.2
Capgo udgav version 12.128.2, der lukker sårbarheden i POST /functions/v1/apikey-endpointet. Alle brugere opfordres til at opdatere straks.
20/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer om fejlen er tilgængelige offentligt, hvilket gør det relativt nemt for angribere at konstruere et angreb baseret på den kendte information.

Konkrete eksempler

Kompromitteret leverandørnøgle giver fuld adgang

En ekstern leverandør har fået tildelt en app-begrænset API-nøgle til jeres Capgo-konto, så de kan håndtere én specifik app. Leverandørens system bliver kompromitteret, og angriberen finder nøglen. Ved hjælp af sårbarheden sender angriberen en forespørgsel til Capgo med en tom rettighedsliste og opretter en ny, ubegrænset nøgle. Angriberen har nu fuld adgang til alle jeres apps og kan distribuere manipulerede opdateringer til jeres slutbrugere.

Tidligere medarbejder eskalerer adgang

En tidligere udvikler, der stadig har en gammel app-begrænset API-nøgle, beslutter sig for at udnytte den. Selvom nøglen kun var tiltænkt ét projekt, bruger udvikleren sårbarheden til at oprette en ubegrænset nøgle. Herefter kan vedkommende tilgå fortrolige app-oplysninger og konfigurationer på tværs af hele organisationens Capgo-konto, uden at I opdager det med det samme.

Automatiseret scanning finder og udnytter nøglen

En angriber kører automatiserede scanningsværktøjer mod kendte API-endpoints hos virksomheder, der bruger Capgo. Hvis en API-nøgle er blevet lækket — f.eks. ved et uheld tjekket ind i en offentlig kode-repository — kan angriberen automatisk bruge sårbarheden til at eskalere nøglens rettigheder og overtage kontoen, uden nogen menneskelig interaktion fra jeres side.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-269

Original NVD-beskrivelse (engelsk)

Capgo before 12.128.2 contains a scope escalation vulnerability in the POST /functions/v1/apikey endpoint that allows app-limited API keys to mint unrestricted keys by setting empty limits. Attackers with a compromised app-limited key can create an unrestricted key with org-wide access to resources like app listings and other protected endpoints.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-56216
Offentliggjort
20/06/2026
Sidst opdateret
20/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.