CVE-2017-20258: SQL-fejl i Joomla RPC Portfolio
En sårbarhed i Joomla-udvidelsen RPC Responsive Portfolio 1.6.1 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20258 er en SQL-injection-sårbarhed (en type angreb hvor ondsindet kode smugles ind i databaseforespørgsler) i Joomla-udvidelsen RPC Responsive Portfolio version 1.6.1. En angriber kan sende en særligt udformet webanmodning til din hjemmeside og dermed tvinge databasen til at udlevere følsomme oplysninger. Angrebet kræver hverken brugernavn, adgangskode eller nogen form for forudgående adgang — det er nok at kende adressen på din hjemmeside.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-baseret hjemmeside med udvidelsen RPC Responsive Portfolio version 1.6.1 installeret og aktiveret. Det kan være virksomheder, foreninger eller offentlige institutioner, der bruger Joomla som CMS (indholdsstyringssystem) til at præsentere porteføljer eller projektgallerier.
Hvad kan ske?
En angriber kan udnytte fejlen til at:
- Trække følsomme data ud af databasen — herunder brugernavne, adgangskoder (typisk krypterede), e-mailadresser og andre oplysninger gemt på siden.
- Kortlægge din databases struktur, hvilket kan bane vejen for yderligere angreb.
- Eksponere kundedata eller fortrolige forretningsoplysninger, hvilket kan medføre brud på GDPR og efterfølgende bøder eller omdømmeskade.
Angrebet påvirker ikke direkte tilgængeligheden af din hjemmeside, men datatabet kan have alvorlige konsekvenser.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.2 ud af 10 (Alvorlig). Den scorer højt, fordi:
- Angrebet kan udføres over internettet uden nogen form for login.
- Det kræver ingen særlig teknisk viden — værktøjer til SQL-injection er frit tilgængelige online.
- Konsekvensen er høj fortrolighed (dine data kan læses), og der er en lille risiko for datamanipulation.
Samlet set er dette en sårbarhed, der bør håndteres hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside:
- Tjek om du er ramt: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Søg efter “RPC Responsive Portfolio” og notér versionsnummeret.
- Deaktivér udvidelsen midlertidigt: Hvis du kører version 1.6.1, deaktivér udvidelsen straks, indtil en sikker version er tilgængelig. Det stopper angrebet uden at tage hele hjemmesiden ned.
- Kontakt din webudvikler eller hosting-udbyder: Bed dem gennemgå dine server-logs for tegn på angrebsforsøg — særligt GET-forespørgsler med parameteren option=com_pofos.
- Hold øje med opdateringer: Følg med hos udvidelsens udgiver (RPC) for en opdateret version, der lukker hullet. Installér den så snart den er tilgængelig.
- Overvej en WAF: En Web Application Firewall (et digitalt filter der blokerer ondsindet trafik) kan give ekstra beskyttelse, mens du venter på en officiel patch.
Deaktivér udvidelsen inden for 24 timer
Vores klare anbefaling er at deaktivere RPC Responsive Portfolio-udvidelsen øjeblikkeligt, hvis du kører version 1.6.1. Sårbarheden er nem at udnytte for angribere, og der findes endnu ingen officiel patch. Kontakt din webudvikler og aftal en plan for at erstatte eller opdatere udvidelsen, så snart en sikker version foreligger. Brug ventetiden til at gennemgå dine logs og vurdere, om der allerede har været uautoriseret adgang til din database.
Tidslinje
Konkrete eksempler
Automatiseret scanning finder din sårbare side
En angriber kører et automatisk scanningsværktøj (fx sqlmap) mod tusindvis af Joomla-hjemmesider på én gang. Værktøjet sender forespørgsler som index.php?option=com_pofos&view=pofo&id=1 OR 1=1 og registrerer, hvilke sider der svarer med databaseindhold. Din hjemmeside identificeres som sårbar inden for få sekunder, og angriberen begynder at trække data ud.
Kundedatabase eksponeret via simpel GET-forespørgsel
En angriber sender manuelt en ondsindet webanmodning til din Joomla-side med et injiceret SQL-udtryk i id-parameteren. Databasen returnerer en liste over alle brugerkonti, inkl. e-mailadresser og hashede adgangskoder. Angriberen kan efterfølgende forsøge at knække adgangskoderne og bruge dem til at logge ind på din side — eller sælge listen videre.
Konkurrent eller fjendtlig aktør kortlægger din infrastruktur
En angriber bruger SQL-injection til ikke blot at stjæle data, men til at kortlægge hele din databases struktur: hvilke tabeller findes, hvad hedder kolonnerne, hvilke andre systemer er koblet til. Disse oplysninger kan bruges til et mere avanceret angreb på et senere tidspunkt eller til at finde yderligere sårbarheder i din infrastruktur.
Ofte stillede spørgsmål
Hvad er SQL injection, og hvorfor er det farligt?
SQL injection er en angrebsmetode, hvor en hacker indsætter ondsindet kode i en forespørgsel til din database. Databasen kan ikke skelne mellem rigtig kode og angriberens kode og udfører derfor begge dele. Det er farligt, fordi det kan give adgang til alle oplysninger gemt i din database — uden at angriberen behøver et kodeord.
Kan jeg se, om nogen allerede har udnyttet sårbarheden mod min hjemmeside?
Ja, delvist. Bed din hosting-udbyder eller webudvikler om at gennemgå dine server-logs. Du bør særligt lede efter GET-forespørgsler til index.php med parametrene option=com_pofos&view=pofo&id= efterfulgt af usædvanlige tegn som anførselstegn, bindestreger eller SQL-nøgleord som SELECT eller UNION. Det er et tegn på, at nogen har forsøgt et angreb.
Jeg bruger Joomla, men er ikke sikker på, om jeg har denne udvidelse. Hvordan tjekker jeg?
Log ind på dit Joomla-administratorpanel (typisk via dinhjemmeside.dk/administrator). Gå til menuen Udvidelser → Administrer. I søgefeltet skriver du “pofos” eller “Responsive Portfolio”. Hvis udvidelsen dukker op og viser version 1.6.1, er du potentielt sårbar.
Hvad sker der med mine data, hvis nogen har udnyttet hullet?
Angriberen kan have fået adgang til alle oplysninger i din database — typisk brugerdata, e-mailadresser og krypterede adgangskoder. Hvis der er tale om persondata, kan du have pligt til at anmelde det til Datatilsynet inden for 72 timer efter du bliver opmærksom på bruddet, jf. GDPR. Kontakt en cybersikkerhedsekspert for at vurdere omfanget.
Er der en sikker alternativ udvidelse, jeg kan bruge i stedet?
Der findes mange portfolio-udvidelser til Joomla. Populære og aktivt vedligeholdte alternativer inkluderer DJ-ImageSlider, Phoca Gallery eller JoomGallery. Tjek altid, at udvidelsen du vælger, er opdateret inden for de seneste 6 måneder og understøttes af en aktiv udvikler, inden du installerer den.
Hvad koster det at få en ekspert til at hjælpe mig?
Omfanget afhænger af din hjemmesides kompleksitet. En grundlæggende gennemgang af logs og deaktivering af udvidelsen er typisk en opgave på 1-2 timer for en webudvikler eller sikkerhedskonsulent. Vil du have en fuld sikkerhedsgennemgang af din Joomla-installation, bør du regne med et par timers arbejde mere. Det er en begrænset investering sammenlignet med konsekvenserne af et databrud.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component RPC Responsive Portfolio 1.6.1 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_pofos&view=pofo&id=[SQL] to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
