CVE-2017-20260
Alvorlig

CVE-2017-20260: SQL-injektion i Joomla Price Alert

Kritisk SQL-injektionsfejl i Joomla-udvidelsen Price Alert 3.0.2 giver hackere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handle inden for 24-48 timer

Hvad er det?

CVE-2017-20260 er en sikkerhedsfejl i Joomla-udvidelsen (et tilføjelsesprogram til hjemmesider) kaldet Price Alert version 3.0.2. Fejlen er en såkaldt SQL-injektion, hvilket betyder, at en angriber kan sende ondsindet kode til dit websted og dermed stille spørgsmål direkte til din database — uden at have et brugernavn eller adgangskode. Angriberen udnytter et felt kaldet product_id i udvidelsens abonnementsfunktion til at sende de skadelige kommandoer. Resultatet er, at følsomme oplysninger som brugernavne, adgangskoder og konfigurationsdata kan hentes ud af din database.

Hvem rammer det?

Sårbarheden rammer alle, der driver et Joomla-baseret websted med udvidelsen Price Alert version 3.0.2 installeret og aktiveret. Det er typisk webshops og produktwebsteder, der bruger denne udvidelse til at lade besøgende abonnere på prisadvarsler. Du behøver ikke at have gjort noget forkert — fejlen ligger i selve koden i udvidelsen.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan følgende ske:

  • Datatyveri: Angriberen kan hente brugernavne, adgangskoder (herunder administratorlogin) og andre følsomme oplysninger fra din database.
  • Kontoovertagelse: Med administratoroplysningerne kan angriberen overtage dit websted fuldstændigt.
  • Misbrug af kundedata: Kundeoplysninger som e-mailadresser og ordrehistorik kan blive stjålet og misbrugt.
  • GDPR-brud: Et datalæk kan udløse krav om anmeldelse til Datatilsynet og potentielle bøder.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) ifølge den internationale CVSS-skala. Det er høj alvor af flere grunde: angrebet kræver hverken login, særlige rettigheder eller handling fra dine brugere — en angriber kan angribe automatisk og i stor skala fra internettet. Risikoen for datatyveri er særligt høj, mens risikoen for direkte nedlukning af dit websted er lavere.

Hvad gør jeg nu?

Følg disse trin for at beskytte dit websted hurtigst muligt:

  1. Tjek om du bruger udvidelsen: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Søg efter “Price Alert” og notér versionen.
  2. Deaktivér udvidelsen midlertidigt: Hvis du kører version 3.0.2, deaktivér udvidelsen med det samme, indtil en opdatering er tilgængelig.
  3. Kontakt din webmaster eller IT-leverandør: Bed dem bekræfte om udvidelsen er sårbar og hjælpe med at opdatere eller erstatte den.
  4. Skift adgangskoder: Skift adgangskoden til din Joomla-administrator og din databasebruger som en forholdsregel.
  5. Gennemgå logfiler: Bed din IT-leverandør tjekke serverlogfiler for tegn på, at nogen allerede har forsøgt at udnytte fejlen.
  6. Overvej en WAF: En Web Application Firewall (et digitalt sikkerhedslag foran dit websted) kan blokere SQL-injektionsforsøg, mens du afventer en permanent løsning.
Tidsfrist

Handle inden for 24-48 timer

Sådan ser Auroa det

Deaktivér Price Alert-udvidelsen øjeblikkeligt, hvis du kører version 3.0.2, da der ikke kendes en officiel patch på nuværende tidspunkt. Skift alle administrative adgangskoder som en forholdsregel, og bed din IT-leverandør undersøge om angrebet allerede er forsøgt. Overvej at skifte til en alternativ og aktivt vedligeholdt udvidelse med tilsvarende funktionalitet.

Tidslinje

19/06/2026
CVE offentliggjort
Sårbarheden CVE-2017-20260 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD). Fejlen er beskrevet som en SQL-injektionssårbarhed i Joomla-udvidelsen Price Alert 3.0.2.
19/06/2026
Tekniske detaljer tilgængelige
Med CVE-offentliggørelsen blev de tekniske detaljer om angrebet — herunder det sårbare parameter og den berørte visning — offentligt tilgængelige, hvilket øger risikoen for udnyttelse markant.
19/06/2026
Ingen patch tilgængelig
På tidspunktet for offentliggørelsen er der ikke bekræftet en officiel opdatering eller rettelse fra producenten af Price Alert-udvidelsen. Brugere opfordres til at deaktivere udvidelsen.

Konkrete eksempler

Automatiseret scanning finder sårbart websted

En angriber bruger et automatiseret scanningsværktøj til at søge internettet igennem efter Joomla-websteder med Price Alert-udvidelsen installeret. Når et sårbart websted identificeres, sendes der automatisk en ondsindet forespørgsel til udvidelsens abonnementsfunktion med SQL-kode i stedet for et normalt produkt-ID. Inden for sekunder returnerer webstedet databasens brugernavne og krypterede adgangskoder.

Administratoradgang overtages via stjålet login

Via SQL-injektionen henter angriberen den Joomla-administratorkonto, der er gemt i databasen. Adgangskoden er krypteret, men angriberen bruger et online cracking-værktøj til at knække den svage adgangskode. Kort tid efter logger angriberen ind som administrator og installerer ondsindet kode på webstedet, der fx omdirigerer besøgende til phishing-sider.

Kundedata eksporteres og sælges

En angriber udnytter sårbarheden til systematisk at udtrække alle kundeposter fra webbutikkens database — herunder navne, e-mailadresser og købshistorik. Disse data pakkes og sælges videre på mørke hjørner af internettet, hvilket kan resultere i målrettede phishing-angreb mod butikkens kunder og et GDPR-brud med anmeldelsespligt for virksomheden.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component Price Alert 3.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the product_id parameter. Attackers can send requests to the subscribeajax view with crafted SQL payloads in the product_id parameter to extract sensitive database information including credentials and configuration data.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20260
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handle inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.