CVE-2026-12175
Moderat

CVE-2026-12175: SQL-injektion i CodeAstro fraværssystem

SQL-injektionsfejl i CodeAstro elevfraværssystem giver angribere med adminadgang mulighed for at manipulere databasen.

CVSS Score
4.7
Offentliggjort
13/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Håndtér inden for 30 dage

Hvad er det?

En sikkerhedsforsker har fundet en fejl i webapplikationen CodeAstro Student Attendance Management System version 1.0. Fejlen er en såkaldt SQL-injektion (en metode hvor en angriber snyder systemet til at udføre uautoriserede databasekommandoer) i den side, der bruges til at oprette nye elever. Konkret kan en angriber manipulere feltet "admissionNumber" (optagelsesnummer) og dermed sende skadelige kommandoer direkte til systemets database. Fejlen er offentligt kendt, og en fungerende angrebsmetode er tilgængelig online.

Hvem rammer det?

Sårbarheden rammer virksomheder og institutioner — typisk skoler, uddannelsescentre eller kursusvirksomheder — der bruger CodeAstro Student Attendance Management System version 1.0 til at administrere elevfremmøde. For at udnytte fejlen skal angriberen have administratoradgang til systemet, hvilket begrænser risikoen noget, men ikke eliminerer den. Hvis en administratorkonto er kompromitteret eller deles med mange, stiger risikoen markant.

Hvad kan ske?

En angriber med administratoradgang kan udnytte fejlen til at:

  • Læse følsomme data fra databasen, f.eks. elevoplysninger og kontaktdata.
  • Ændre eller slette data i systemet, f.eks. fremmøderegistreringer.
  • Forstyrre systemets tilgængelighed, så det ikke fungerer som forventet.

Konsekvenserne vurderes som begrænsede på fortrolighed, integritet og tilgængelighed — men et databrud med personoplysninger om elever kan stadig have juridiske følger under GDPR.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 4.7 ud af 10 (Moderat). Det kræver, at angriberen allerede har administratoradgang til systemet — det er en vigtig begrænsning. Angriberen behøver dog ikke fysisk adgang; angrebet kan gennemføres over internettet. Det faktum, at en offentlig exploit (angrebskode) allerede er tilgængelig, løfter den praktiske risiko en smule, selv om den tekniske score er moderat. Samlet set er det ikke en kritisk brandslukningssituation, men det bør håndteres inden for rimelig tid.

Hvad gør jeg nu?

Følg disse trin for at reducere risikoen hurtigst muligt:

  1. Kortlæg brug: Find ud af, om din organisation bruger CodeAstro Student Attendance Management System version 1.0.
  2. Begræns adgang: Sørg for, at kun nødvendige personer har administratoradgang til systemet. Skift adgangskoder til stærke og unikke koder.
  3. Tjek for opdatering: Kontakt leverandøren CodeAstro eller tjek deres hjemmeside for en patchet version af systemet.
  4. Begræns netværksadgang: Hvis systemet ikke behøver at være tilgængeligt fra internettet, så placer det bag en firewall eller VPN.
  5. Overvåg logfiler: Gennemgå systemets adgangslogfiler for mistænkelig aktivitet, særligt i administratorpanelet.
  6. Vurder GDPR-forpligtelse: Hvis persondata om elever kan være blevet kompromitteret, kontakt din databeskyttelsesrådgiver og vurder, om der er anmeldelsespligt til Datatilsynet.
Tidsfrist

Håndtér inden for 30 dage

Sådan ser Auroa det

Vi anbefaler, at du straks begrænser adgangen til administratorpanelet i CodeAstro-systemet og skifter alle administratoradgangskoder. Tjek hos leverandøren, om der er udgivet en opdateret version, der lukker hullet. Indtil en officiel patch foreligger, bør systemet ikke være direkte tilgængeligt fra internettet uden beskyttelse. Kontakt os gerne, hvis du er i tvivl om, hvordan du bedst sikrer dit system.

Tidslinje

13/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-12175 blev officielt registreret i NVD (National Vulnerability Database) og gjort offentligt tilgængelig med detaljer om angrebsmetoden.
13/06/2026
Offentlig exploit tilgængelig
Samtidig med offentliggørelsen blev det bekræftet, at en fungerende angrebsmetode (exploit) er offentligt tilgængelig, hvilket øger risikoen for misbrug.
13/06/2026
Ingen patch tilgængelig
På tidspunktet for offentliggørelsen er der ikke udgivet en officiel opdatering fra leverandøren CodeAstro, der lukker sikkerhedshullet.

Konkrete eksempler

Angriber udtrækker elevdata fra databasen

En angriber får fat i en administratorkonto — f.eks. via et phishing-angreb (svindel-e-mail) eller et svagt kodeord. Angriberen logger ind på systemet og åbner siden til oprettelse af nye elever. I feltet "admissionNumber" indtaster angriberen en særligt udformet SQL-kommando i stedet for et normalt optagelsesnummer. Systemet sender kommandoen videre til databasen, og angriberen modtager en liste over alle elevers navne, kontaktoplysninger og fremmødehistorik.

Angriber sletter eller manipulerer fremmøderegistreringer

Med den samme SQL-injektionsteknik kan en angriber sende kommandoer, der ændrer eller sletter fremmøderegistreringer i databasen. Det kan f.eks. bruges til at skjule en elevs fravær, forfalske data eller i værste fald gøre hele fraværsdatabasen ubrugelig — med forstyrrende konsekvenser for den daglige drift.

Insider-trussel fra misfornøjet medarbejder

En medarbejder med legitim administratoradgang — f.eks. en IT-ansvarlig eller en administrativ medarbejder der er ved at fratræde — udnytter fejlen bevidst til at eksportere eller ødelægge data, inden de forlader organisationen. Dette eksempel understreger, at truslen ikke kun kommer udefra, og at princippet om mindste privilegium (at kun give adgang til det strengt nødvendige) er afgørende.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
LOW
Integrity
LOW
Availability
LOW

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

CWE-svaghedstyper

CWE-74
CWE-89

Original NVD-beskrivelse (engelsk)

A vulnerability was detected in CodeAstro Student Attendance Management System 1.0. Impacted is an unknown function of the file /attendance-php/Admin/createStudents.php. Performing a manipulation of the argument admissionNumber results in sql injection. Remote exploitation of the attack is possible. The exploit is now public and may be used.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
4.7
Visning
Hurtige fakta
CVE-ID
CVE-2026-12175
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Håndtér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.