CVE-2026-9848
Alvorlig

CVE-2026-9848: SQL-injection i WP Ticket WordPress-plugin

WordPress-plugin WP Ticket (op til v6.0.4) lader uvedkommende trække følsomme data ud af din database uden login.

CVSS Score
7.5
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

CVE-2026-9848 er en SQL-injection-sårbarhed (en fejl hvor angribere kan snige egne database-kommandoer ind) i WordPress-plugin’et WP Ticket op til og med version 6.0.4.

Plugin’et bygger en database-søgning uden at rense søgefeltet for farlige tegn. Det betyder, at en angriber kan skrive særlige kommandoer i søgefeltet på din hjemmeside og få databasen til at udlevere data, den aldrig burde vise udenforstående — alt sammen uden at skulle logge ind.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider, der kører WP Ticket version 6.0.4 eller ældre. Det er typisk virksomheder, der bruger plugin’et til at håndtere support-tickets eller henvendelser direkte på deres hjemmeside. Angrebet kræver ingen adgangskode og kan udføres af hvem som helst med internetadgang til din side.

Hvad kan ske?

En angriber kan udtrække følsomme oplysninger fra din WordPress-database. Det kan inkludere:

  • Brugernavne og krypterede adgangskoder for alle brugere og administratorer
  • Kunders e-mailadresser og personoplysninger gemt i tickets
  • Interne beskeder og support-henvendelser
  • Potentielt andre følsomme data gemt i databasen, fx ordredata eller API-nøgler

Selve hjemmesidens indhold kan ikke ændres via denne sårbarhed, og den slukker ikke din side — men datalækagen kan have alvorlige konsekvenser for GDPR-overholdelse og kundernes tillid.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.5 ud af 10 (Alvorlig) af det internationale sikkerhedssystem CVSS. Den scorer højt, fordi:

  • Angrebet kan udføres over internettet uden fysisk adgang
  • Det kræver ingen login eller særlige rettigheder
  • Det kræver ingen handling fra en bruger på din side
  • Angrebet er teknisk enkelt at udføre for en erfaren angriber

Det eneste, der begrænser alvorligheden, er, at angriberen kun kan læse data — ikke ændre eller slette dem.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte din hjemmeside:

  1. Tjek din version: Log ind på dit WordPress-dashboard, gå til Plugins, og find WP Ticket. Notér versionsnummeret.
  2. Opdatér plugin’et: Hvis en opdateret version er tilgængelig (over 6.0.4), installér den straks via Plugins → Tilgængelige opdateringer.
  3. Skift adgangskoder: Skift adgangskoderne for alle WordPress-administratorer og -brugere som en sikkerhedsforanstaltning, da disse kan være blevet eksponeret.
  4. Gennemgå dine logs: Bed din webmaster eller IT-ansvarlige om at gennemgå serverlogfiler for usædvanlige søgeanmodninger, der kan indikere, at nogen allerede har forsøgt angrebet.
  5. Overvej midlertidig deaktivering: Hvis der ikke findes en opdatering endnu, overvej at deaktivere plugin’et midlertidigt, indtil en patch er tilgængelig.
  6. Anmeld ved mistanke om brud: Har du grund til at tro, at data er blevet lækket, kan du have pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Opdatér WP Ticket til den nyeste version øjeblikkeligt — det er den mest effektive handling, du kan tage. Da angrebet ikke kræver login, er din hjemmeside eksponeret over for alle på internettet, så længe den sårbare version kører. Skift samtidig adgangskoderne for dine WordPress-administratorer, og kontakt os hvis du er usikker på, om din side allerede har været udsat for et angreb.

Tidslinje

13/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-9848 i WP Ticket plugin op til version 6.0.4 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 7.5.
13/06/2026
Tekniske detaljer tilgængelige
Den fulde tekniske beskrivelse af sårbarheden, herunder den præcise kode-sti og angrebsmetode, blev gjort offentligt tilgængelig. Det gør det lettere for angribere at udvikle og anvende udnyttelsesværktøjer.
14/06/2026
Patch forventet tilgængelig
Plugin-udviklerne forventes at have udsendt en opdateret version af WP Ticket, der lukker sårbarheden. Tjek WordPress plugin-kataloget eller din plugin-oversigt for den seneste version.

Konkrete eksempler

Udtræk af administrator-adgangskoder

En angriber besøger din hjemmesides søgefelt og indtaster en særligt konstrueret tekststreng med SQL-kommandoer i stedet for et normalt søgeord. Plugin’et videresender teksten direkte til databasen, som svarer med en liste over brugernavne og krypterede adgangskoder for alle WordPress-administratorer. Angriberen kan herefter forsøge at cracke adgangskoderne offline og overtage din WordPress-administration.

Lækage af kundedata fra support-tickets

Din virksomhed bruger WP Ticket til at modtage support-henvendelser fra kunder. En angriber bruger sårbarheden til at trække indholdet af alle gemte tickets ud af databasen — inklusive kundenavne, e-mailadresser, telefonnumre og beskrivelser af deres problemer. Disse oplysninger kan sælges videre eller bruges til målrettede phishing-angreb (svindel-e-mails der udgiver sig for at være din virksomhed).

Automatiseret masseudnyttelse via scanning

En kriminel gruppe kører et automatiseret scanningsværktøj, der på få timer gennemsøger millioner af WordPress-sider for at finde dem, der kører en sårbar version af WP Ticket. Alle fundne sider registreres automatisk, og data høstes uden manuel indgriben. Din side kan blive ramt, selv hvis du aldrig har haft en direkte fjende — det er blot et spørgsmål om at have den forkerte plugin-version på det forkerte tidspunkt.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

The WP Ticket plugin for WordPress is vulnerable to SQL Injection via the WordPress search query parameter (`s`) in versions up to, and including, 6.0.4 The plugin hooks WordPress’s `posts_request` filter with `wp_ticket_com_posts_request()`, which calls `emd_author_search_results()` when the current request is an unauthenticated front-end search. That function reads `$query->query_vars[‘s’]` — already wp_unslash()’d by `WP_Query::parse_query()`, so wp_magic_quotes protection has been stripped — and concatenates the raw value into a SQL `LIKE` clause inside a UNION sub-SELECT appended to the main query, with no `$wpdb->prepare()` or escaping. This makes it possible for unauthenticated attackers to append additional SQL queries into already-existing queries that can be used to extract sensitive information from the database.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-9848
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.