CVE-2026-9848: SQL-injection i WP Ticket WordPress-plugin
WordPress-plugin WP Ticket (op til v6.0.4) lader uvedkommende trække følsomme data ud af din database uden login.
Hvad er det?
CVE-2026-9848 er en SQL-injection-sårbarhed (en fejl hvor angribere kan snige egne database-kommandoer ind) i WordPress-plugin’et WP Ticket op til og med version 6.0.4.
Plugin’et bygger en database-søgning uden at rense søgefeltet for farlige tegn. Det betyder, at en angriber kan skrive særlige kommandoer i søgefeltet på din hjemmeside og få databasen til at udlevere data, den aldrig burde vise udenforstående — alt sammen uden at skulle logge ind.
Hvem rammer det?
Sårbarheden rammer alle WordPress-hjemmesider, der kører WP Ticket version 6.0.4 eller ældre. Det er typisk virksomheder, der bruger plugin’et til at håndtere support-tickets eller henvendelser direkte på deres hjemmeside. Angrebet kræver ingen adgangskode og kan udføres af hvem som helst med internetadgang til din side.
Hvad kan ske?
En angriber kan udtrække følsomme oplysninger fra din WordPress-database. Det kan inkludere:
- Brugernavne og krypterede adgangskoder for alle brugere og administratorer
- Kunders e-mailadresser og personoplysninger gemt i tickets
- Interne beskeder og support-henvendelser
- Potentielt andre følsomme data gemt i databasen, fx ordredata eller API-nøgler
Selve hjemmesidens indhold kan ikke ændres via denne sårbarhed, og den slukker ikke din side — men datalækagen kan have alvorlige konsekvenser for GDPR-overholdelse og kundernes tillid.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.5 ud af 10 (Alvorlig) af det internationale sikkerhedssystem CVSS. Den scorer højt, fordi:
- Angrebet kan udføres over internettet uden fysisk adgang
- Det kræver ingen login eller særlige rettigheder
- Det kræver ingen handling fra en bruger på din side
- Angrebet er teknisk enkelt at udføre for en erfaren angriber
Det eneste, der begrænser alvorligheden, er, at angriberen kun kan læse data — ikke ændre eller slette dem.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din hjemmeside:
- Tjek din version: Log ind på dit WordPress-dashboard, gå til Plugins, og find WP Ticket. Notér versionsnummeret.
- Opdatér plugin’et: Hvis en opdateret version er tilgængelig (over 6.0.4), installér den straks via Plugins → Tilgængelige opdateringer.
- Skift adgangskoder: Skift adgangskoderne for alle WordPress-administratorer og -brugere som en sikkerhedsforanstaltning, da disse kan være blevet eksponeret.
- Gennemgå dine logs: Bed din webmaster eller IT-ansvarlige om at gennemgå serverlogfiler for usædvanlige søgeanmodninger, der kan indikere, at nogen allerede har forsøgt angrebet.
- Overvej midlertidig deaktivering: Hvis der ikke findes en opdatering endnu, overvej at deaktivere plugin’et midlertidigt, indtil en patch er tilgængelig.
- Anmeld ved mistanke om brud: Har du grund til at tro, at data er blevet lækket, kan du have pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Opdatér inden for 24-48 timer
Opdatér WP Ticket til den nyeste version øjeblikkeligt — det er den mest effektive handling, du kan tage. Da angrebet ikke kræver login, er din hjemmeside eksponeret over for alle på internettet, så længe den sårbare version kører. Skift samtidig adgangskoderne for dine WordPress-administratorer, og kontakt os hvis du er usikker på, om din side allerede har været udsat for et angreb.
Tidslinje
Konkrete eksempler
Udtræk af administrator-adgangskoder
En angriber besøger din hjemmesides søgefelt og indtaster en særligt konstrueret tekststreng med SQL-kommandoer i stedet for et normalt søgeord. Plugin’et videresender teksten direkte til databasen, som svarer med en liste over brugernavne og krypterede adgangskoder for alle WordPress-administratorer. Angriberen kan herefter forsøge at cracke adgangskoderne offline og overtage din WordPress-administration.
Lækage af kundedata fra support-tickets
Din virksomhed bruger WP Ticket til at modtage support-henvendelser fra kunder. En angriber bruger sårbarheden til at trække indholdet af alle gemte tickets ud af databasen — inklusive kundenavne, e-mailadresser, telefonnumre og beskrivelser af deres problemer. Disse oplysninger kan sælges videre eller bruges til målrettede phishing-angreb (svindel-e-mails der udgiver sig for at være din virksomhed).
Automatiseret masseudnyttelse via scanning
En kriminel gruppe kører et automatiseret scanningsværktøj, der på få timer gennemsøger millioner af WordPress-sider for at finde dem, der kører en sårbar version af WP Ticket. Alle fundne sider registreres automatisk, og data høstes uden manuel indgriben. Din side kan blive ramt, selv hvis du aldrig har haft en direkte fjende — det er blot et spørgsmål om at have den forkerte plugin-version på det forkerte tidspunkt.
Ofte stillede spørgsmål
Skal jeg være bekymret, selvom min hjemmeside er lille og ukendt?
Ja. Angribere bruger automatiserede programmer, der scanner tusindvis af hjemmesider i timen for kendte sårbarheder. Din sides størrelse eller popularitet betyder ikke noget — det er plugin-versionen, der afgør om du er sårbar. Selv små hjemmesider bliver ramt, fordi processen er fuldautomatisk.
Kan jeg se om nogen allerede har udnyttet sårbarheden mod min side?
Det kan være svært at opdage uden teknisk hjælp. Et tegn kan være usædvanlige opførsler i dine serverlogfiler, fx mange søgeanmodninger med mærkelige tegn som enkeltanførselstegn (‘) eller SQL-nøgleord (UNION, SELECT). Kontakt en it-sikkerhedskonsulent, hvis du vil have foretaget en grundig gennemgang.
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection betyder, at en angriber sniger egne database-kommandoer ind i et søgefelt eller formular på din hjemmeside. Tænk på det som at skrive en falsk ekstra sætning på en formular, der narrer systemet til at udføre handlinger, det aldrig burde. I dette tilfælde kan angriberen tvinge databasen til at udlevere data som brugeroplysninger og passwords.
Har jeg pligt til at anmelde dette til Datatilsynet?
Kun hvis du har grund til at tro, at persondata faktisk er blevet tilgået eller lækket. GDPR kræver, at du anmelder et databrud til Datatilsynet inden for 72 timer, hvis bruddet udgør en risiko for berørte personers rettigheder. Er du i tvivl, så kontakt os — vi hjælper dig med at vurdere situationen.
Hvad sker der, hvis jeg ikke kan opdatere plugin'et med det samme?
Den hurtigste midlertidige løsning er at deaktivere WP Ticket helt, indtil en opdatering er installeret. Det fjerner funktionen fra din hjemmeside, men stopper også angrébsmuligheden. En Web Application Firewall (WAF) kan i nogle tilfælde blokere angrebsforsøg, men er ikke en garanti og erstatter ikke en opdatering.
Er mine kunders data i fare, selv om passwords er krypterede?
Krypterede passwords er sværere at misbruge direkte, men de kan crackes med specialværktøjer, særligt hvis de er svage. Derudover kan angriberen tilgå andre ukrypterede oplysninger som navne, e-mailadresser og support-henvendelser. Du bør behandle situationen som et potentielt databrud og orientere berørte kunder, hvis du har konkret mistanke om, at data er tilgået.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The WP Ticket plugin for WordPress is vulnerable to SQL Injection via the WordPress search query parameter (`s`) in versions up to, and including, 6.0.4 The plugin hooks WordPress’s `posts_request` filter with `wp_ticket_com_posts_request()`, which calls `emd_author_search_results()` when the current request is an unauthenticated front-end search. That function reads `$query->query_vars[‘s’]` — already wp_unslash()’d by `WP_Query::parse_query()`, so wp_magic_quotes protection has been stripped — and concatenates the raw value into a SQL `LIKE` clause inside a UNION sub-SELECT appended to the main query, with no `$wpdb->prepare()` or escaping. This makes it possible for unauthenticated attackers to append additional SQL queries into already-existing queries that can be used to extract sensitive information from the database.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
