CVE-2026-56254 in capacitor-updater
Zusammenfassung
von VulDB • 10.07.2026
In @capgo/capacitor-updater (Cap-go/capgo) vor Version 12.128.2 verteilt das End-to-End-Verschlüsselungsverfahren den privaten Schlüssel an jedes Gerät, das die App herunterlädt. Da der öffentliche Schlüssel aus dem privaten Schlüssel abgeleitet werden kann, kann ein Angreifer, der einen Man-in-the-Middle-Angriff durchführt oder den Capgo-Server kompromittiert, ein gültig signiertes Update-Bundle erstellen und bewirken, dass Geräte ein Update installieren, das nicht vom ursprünglichen App-Hersteller stammt.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.