CVE-2017-20261
Alvorlig

CVE-2017-20261: SQL-injektion i Joomla Bargain Product VM3

Kritisk SQL-injektionsfejl i Joomla-tilføjelse giver hackere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handle inden for 24-48 timer

Hvad er det?

CVE-2017-20261 er en sikkerhedsfejl i Joomla-tilføjelsen (plugin) kaldet Bargain Product VM3 version 1.0. Fejlen er en såkaldt SQL-injektion (en type angreb hvor en hacker sniger ondsindet kode ind i databaseforespørgsler) gennem et felt kaldet product_id. Det betyder, at en angriber kan sende særligt udformede webanmodninger til din hjemmeside og dermed tvinge databasen til at udlevere oplysninger, den ikke må. Ingen login eller særlige rettigheder er nødvendige for at udføre angrebet.

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en Joomla-baseret hjemmeside med VirtueMart-webshop og har installeret tilføjelsen Bargain Product VM3 version 1.0. Det drejer sig typisk om mindre webshops og foreninger, der bruger Joomla som platform. Har du ikke denne specifikke tilføjelse installeret, er du ikke i fare.

Hvad kan ske?

En angriber kan uden at logge ind hente følsomme oplysninger direkte fra din database — herunder:

  • Kundeoplysninger som navne, adresser og e-mails
  • Ordrehistorik og betalingsdata
  • Brugernavne og krypterede adgangskoder til hjemmesidens administratorer
  • Andre fortrolige forretningsdata gemt i databasen

Der er desuden risiko for mindre ændringer i databaseindholdet. Et databrud kan udløse krav om anmeldelse til Datatilsynet under GDPR og føre til bøder eller tab af kundetillid.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) af det internationale sikkerhedssystem CVSS. Den scorer højt, fordi:

  • Angrebet kan udføres over internettet — uden fysisk adgang
  • Det kræver ingen teknisk snilde eller forudgående adgang
  • Der kræves ingen handling fra dig eller dine brugere for at angrebet lykkes
  • Fortrolige data kan kompromitteres i stort omfang

Risikoen for dit systems tilgængelighed vurderes dog som lav, da angrebet primært handler om at læse data, ikke lamme systemet.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside hurtigst muligt:

  1. Undersøg om du bruger tilføjelsen — log ind på dit Joomla-kontrolpanel og tjek listen over installerede tilføjelser/komponenter efter “Bargain Product VM3”.
  2. Deaktiver eller slet tilføjelsen straks — hvis du finder den, så deaktiver den med det samme, indtil en opdatering er tilgængelig. Bruges den aktivt, find en alternativ løsning.
  3. Tjek dine logfiler — gennemgå serverlogfiler for mistænkelig aktivitet, særligt GET-forespørgsler mod “brainy” og “alice”-visningerne.
  4. Skift administratoradgangskoder — som en sikkerhedsforanstaltning bør du ændre adgangskoder til alle Joomla-administratorer.
  5. Vurder om der har været et databrud — har du kundedata i systemet, overvej om du er forpligtet til at anmelde hændelsen til Datatilsynet inden for 72 timer.
  6. Kontakt din IT-leverandør — hvis du er i tvivl om noget af ovenstående, få hjælp fra en fagperson.
Tidsfrist

Handle inden for 24-48 timer

Sådan ser Auroa det

Da der på nuværende tidspunkt ikke foreligger en officiel opdatering til tilføjelsen, anbefaler vi, at du fjerner Bargain Product VM3 fra din Joomla-installation øjeblikkeligt. Sårbarhedens alvor og lave angrebskompleksitet gør det uforsvarligt at lade tilføjelsen forblive aktiv. Har du behov for lignende funktionalitet, bør du finde en alternativ tilføjelse fra en leverandør, der aktivt vedligeholder sin kode. Overvej også at gennemgå alle øvrige tilføjelser på din hjemmeside for at sikre, at de er opdaterede.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2017-20261 blev officielt registreret og offentliggjort i det amerikanske National Vulnerability Database (NVD) med en CVSS-score på 8,2.
19/06/2026
Tekniske detaljer tilgængelige
Angrebsvektoren og de berørte parametre (product_id, brainy- og alice-views) er beskrevet offentligt, hvilket gør det muligt for angribere at konstruere angreb baseret på de kendte oplysninger.
19/06/2026
Ingen patch tilgængelig
På offentliggørelsestidspunktet er der ikke udgivet en opdateret version af Bargain Product VM3, og der er ikke annonceret en planlagt rettelse fra udvikleren.

Konkrete eksempler

Udtræk af kundeliste via webadresse

En angriber besøger din Joomla-webshop og tilføjer ondsindet SQL-kode til webadressen i feltet “product_id” — for eksempel: ?product_id=1 UNION SELECT email,password FROM jos_users–. Databasen opfatter dette som en gyldig forespørgsel og returnerer alle brugernavne og krypterede adgangskoder fra administratortabellen direkte i browservinduet. Ingen login er nødvendigt.

Automatiseret scanning og masseudtræk

En hacker bruger et automatiseret angrebsværktøj (såsom sqlmap) til at scanne tusindvis af Joomla-hjemmesider for den sårbare tilføjelse. Når en sårbar side findes, hentes hele databasen automatisk på få minutter — inklusive kundedata, ordrer og administratoroplysninger. Dataene kan efterfølgende sælges på kriminelle markeder eller bruges til afpresning.

Springbræt til administratoradgang

Via SQL-injektionen udtrækker en angriber den krypterede adgangskode for en Joomla-administrator. Adgangskoden forsøges knækket med et adgangskode-gætteprogram (brute force). Lykkes det, logger angriberen ind som administrator og kan installere yderligere skadelig kode, ændre hjemmesidens indhold eller oprette bagdøre til fremtidige angreb.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component Bargain Product VM3 1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the product_id parameter. Attackers can supply crafted SQL statements in GET requests to the brainy and alice views to extract sensitive database information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20261
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handle inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.