CVE-2017-20259: SQL-fejl i Joomla OSDownloads 1.7.4
Kritisk SQL-fejl i Joomla-plugin OSDownloads 1.7.4 lader angribere stjæle din database uden login.
Hvad er det?
OSDownloads er et gratis Joomla-plugin (tilføjelsesprogram til hjemmesidesystemet Joomla), som bruges til at håndtere fildownloads på hjemmesider. Version 1.7.4 indeholder en alvorlig SQL-injektionsfejl (en teknik hvor angribere smugler ondsindet kode ind i databaseforespørgsler) i et parameter kaldet id. En angriber kan sende en særligt udformet webadresse til din hjemmeside og derved få adgang til at læse og trække data ud af din database — helt uden at logge ind eller have særlige rettigheder. Fejlen kræver ingen teknisk viden ud over kendskab til angrebet.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en hjemmeside baseret på Joomla med OSDownloads-pluginnet installeret i version 1.7.4 eller tidligere. Det kan være webshops, foreningssider, kommunale informationssider eller virksomhedshjemmesider, der bruger Joomla som CMS (indholdsstyringssystem). Mange SMV’er bruger Joomla-plugins uden at vide præcis, hvilke versioner der er installeret — det er derfor vigtigt at tjekke aktivt.
Hvad kan ske?
En angriber kan udnytte fejlen til at:
- Udtrække brugernavne og adgangskoder fra din database
- Læse fortrolige konfigurationsoplysninger, herunder databaseadgangskoder
- Tilgå persondata om dine kunder eller brugere, hvilket kan udløse GDPR-brud
- Bruge stjålne loginoplysninger til at overtage kontrollen med hele hjemmesiden
Angrebet sker via et simpelt GET-request (en normal webadresse) og efterlader muligvis kun sparsomme spor i dine logfiler.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale klassificeringssystem CVSS. Det skyldes, at angrebet kan udføres over internettet uden login, uden brugerinteraktion og med lav kompleksitet — tre faktorer der tilsammen gør det særdeles nemt at udnytte. Fortroligheden af dine data er i høj risiko, mens selve ændring af data og nedbrud vurderes til lav henholdsvis ingen risiko. Samlet set er dette en fejl, du bør tage alvorligt og handle på hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside:
- Tjek din Joomla-installation: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Find OSDownloads og notér versionsnummeret.
- Opdater pluginnet: Hvis du kører version 1.7.4 eller ældre, skal du opdatere til den nyeste tilgængelige version via Joomla Extension Directory eller udvikleren Techjoomla.
- Skift databaseadgangskoder: Hvis du har kørt den sårbare version, bør du skifte adgangskoden til din database som en forholdsregel.
- Gennemgå brugerkonti: Tjek om der er oprettet nye administratorkonti, du ikke genkender.
- Aktivér en WAF: En Web Application Firewall (et digitalt skjold foran din hjemmeside) kan blokere SQL-injektionsangreb, selv hvis du ikke kan opdatere med det samme.
- Kontakt din webhost eller IT-partner: Bed dem om at gennemgå dine logfiler for mistænkelig aktivitet rettet mod
index.php?option=com_osdownloads.
Opdater inden for 48 timer
Vi anbefaler, at du opdaterer OSDownloads-pluginnet hurtigst muligt — helst inden for 48 timer. Angrebet er enkelt at udføre og kræver ingen særlige forudsætninger, hvilket gør det attraktivt for automatiserede scanningsværktøjer. Hvis du er i tvivl om, hvordan du opdaterer sikkert, eller ønsker at få gennemgået om du allerede er blevet kompromitteret, er du velkommen til at kontakte os for en hurtig vurdering.
Tidslinje
Konkrete eksempler
Automatiseret scanning af Joomla-sider
En angriber kører et automatiseret script, der scanner tusindvis af hjemmesider for Joomla-installationer med OSDownloads aktiveret. Scriptet sender en testforespørgsel til index.php?option=com_osdownloads&view=item&id=1' og registrerer, om svaret indeholder en databasefejl. Sårbare sider markeres og angribes derefter systematisk for at udtrække brugerdata og adgangskoder — alt sammen uden manuel indgriben fra angriberen.
Udtrækning af adminadgangskoder
En angriber har identificeret din Joomla-hjemmeside som sårbar og sender en SQL-forespørgsel via id-parameteret, der beder databasen om at returnere alle rækker fra Joomlas brugertabel — inklusive krypterede adgangskoder og e-mailadresser. De krypterede adgangskoder knækkes efterfølgende med et password-cracking-program, og angriberen logger ind som administrator og overtager kontrollen med hele hjemmesiden.
Tyveri af kundedata og GDPR-brud
En webshop bruger Joomla med OSDownloads til at distribuere produktmanualer. En angriber udnytter fejlen til at trække en liste over alle kunder ud af databasen, inklusiv navne, e-mailadresser og ordrehistorik. Dataene sælges på et hackerforum, og virksomheden opdager først bruddet, da kunderne begynder at modtage phishing-mails. Virksomheden er nu forpligtet til at anmelde bruddet til Datatilsynet og risikerer en GDPR-bøde.
Ofte stillede spørgsmål
Kan jeg se, om nogen allerede har udnyttet fejlen på min hjemmeside?
Det kan være svært at opdage, da angrebet sker via en helt normal webadresse. Du bør bede din webhost om at udlevere serverlogfiler og søge efter kald til
index.phpmed parametreneoption=com_osdownloadsogview=itemkombineret med usædvanlige tegn som enkelte anførselstegn, bindestreger eller SQL-nøgleord iid-parameteret.Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en angriber smugler egne database-kommandoer ind i en forespørgsel, som din hjemmeside sender til databasen. Det er farligt, fordi databasen ikke kan skelne mellem de legitime kommandoer og angribernes — og dermed adlyder begge. Resultatet kan være, at angriberen kan læse, ændre eller slette data i din database.
Har jeg et problem, selv om jeg ikke bruger OSDownloads aktivt?
Ja. Selv om pluginnet ikke bruges aktivt på din hjemmeside, kan det stadig være installeret og aktivt i Joomla — og dermed sårbart. Angribere scanner automatisk internettet for kendte sårbare plugins, uanset om de er i brug. Du skal enten opdatere eller afinstallere pluginnet helt.
Får jeg GDPR-problemer, hvis nogen har udnyttet fejlen?
Potentielt ja. Hvis persondata om kunder eller brugere er blevet tilgået uden tilladelse, er det et databrud, som du efter GDPR skal anmelde til Datatilsynet inden for 72 timer efter du er blevet bekendt med det. Du bør derfor handle hurtigt og dokumentere, hvad du finder under din undersøgelse.
Findes der en patch (rettelse) til fejlen?
Ja. Udvikleren bag OSDownloads har udgivet en opdateret version, som retter fejlen. Du bør opdatere via Joomlas udvidelsesmanager eller downloade den nyeste version direkte fra Techjoomlas hjemmeside. Sørg altid for at tage backup af din hjemmeside inden opdatering.
Kan min antivirussoftware beskytte mig mod dette angreb?
Nej, traditionel antivirussoftware på din computer beskytter ikke mod denne type angreb, da det sker direkte mod din hjemmeside og dens database på en webserver. Du har brug for serverbaserede sikkerhedsforanstaltninger som en Web Application Firewall (WAF) og regelmæssige opdateringer af dine Joomla-plugins.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla OSDownloads 1.7.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_osdownloads&view=item&id=[SQL] to extract sensitive database information including credentials and configuration data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
