CVE-2017-20268: SQL-fejl i Joomla Zap Calendar Lite
Kritisk SQL-fejl i Joomla-kalenderkomponent giver hackere direkte adgang til din database uden login.
Hvad er det?
CVE-2017-20268 er en SQL-injection-sårbarhed (en teknik hvor angribere smugler skadelige databasekommandoer ind i en forespørgsel) i Joomla-komponenten Zap Calendar Lite version 4.3.4. Fejlen sidder i et felt kaldet eid i kalenderens RSVP-funktion (tilmeldingssystem til begivenheder). En angriber kan sende en særligt udformet webadresse til din hjemmeside og få din database til at udlevere oplysninger, den slet ikke burde dele. Det kræver hverken brugernavn, kodeord eller særlige rettigheder at udnytte fejlen — alle med internetadgang kan forsøge angrebet.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en hjemmeside baseret på Joomla! og har installeret tilføjelsen Zap Calendar Lite version 4.3.4. Det er typisk virksomheder, foreninger og organisationer, der bruger Joomla som CMS (indholdsstyringssystem) og har aktiveret kalender- og begivenhedsfunktioner med tilmeldingsmulighed. Har du ikke denne specifikke komponent installeret, er du ikke i farezonen for netop denne sårbarhed.
Hvad kan ske?
En angriber kan udnytte fejlen til at:
- Trække følsomme data ud af din database — herunder brugernavne, krypterede adgangskoder, e-mailadresser og andre personoplysninger.
- Kortlægge din databasestruktur — navne på tabeller og kolonner, som kan bruges til yderligere angreb.
- Potentielt tilgå andre systemer, hvis databasebrugeren har brede rettigheder.
Fortrolighed er den primære risiko (CVSS C=HIGH). Angrebet kan også resultere i mindre, utilsigtede dataændringer (I=LOW). Din hjemmesides tilgængelighed påvirkes ikke direkte.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale CVSS-system. Det er en høj score, primært fordi:
- Angrebet kan udføres over internettet uden login.
- Det er teknisk let at udføre — lav kompleksitet.
- Det giver adgang til følsomme data, som kan bruges til identitetstyveri, videre angreb eller brud på GDPR-reglerne.
SQL-injection er en af de mest kendte og hyppigt misbrugte angrebstyper på nettet, og automatiserede scannerværktøjer kan finde og udnytte sådanne fejl uden menneskelig indgriben.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside hurtigst muligt:
- Kontrollér om du bruger Zap Calendar Lite — log ind i Joomlas backend og gå til Udvidelser → Administrer. Søg efter ‘Zap Calendar’.
- Opdatér eller afinstallér komponenten — undersøg om der findes en opdateret version hos udgiveren. Finder du ingen patch, bør du deaktivere og fjerne komponenten øjeblikkeligt.
- Gennemgå dine logfiler — bed din webhost eller IT-ansvarlige om at tjekke serverlogge for usædvanlige GET-forespørgsler mod kalenderens RSVP-endpoint.
- Skift adgangskoder — hvis du ikke kan udelukke et angreb, bør du straks skifte databaseadgangskoder og Joomla-administratoradgangskoder.
- Orientér din databeskyttelsesrådgiver — hvis persondata kan være kompromitteret, kan du have pligt til at anmelde bruddet til Datatilsynet inden for 72 timer (GDPR artikel 33).
- Overvej en WAF — en Web Application Firewall (et digitalt sikkerhedsskjold foran din hjemmeside) kan blokere SQL-injection-forsøg som midlertidig beskyttelse.
Handl inden for 24-48 timer
Vores klare anbefaling er, at du øjeblikkeligt deaktiverer Zap Calendar Lite, hvis du ikke kan bekræfte, at en sikkerhedsopdatering er tilgængelig og installeret. SQL-injection-angreb mod Joomla-komponenter er velkendte og let automatiserbare, og det er ikke et spørgsmål om om, men hvornår en scanner finder din side. Kontakt os gerne, hvis du har brug for hjælp til at vurdere omfanget eller implementere midlertidige beskyttelsesforanstaltninger.
Tidslinje
Konkrete eksempler
Databaseudtræk via kalender-tilmelding
En angriber besøger din Joomla-hjemmeside og identificerer, at du bruger Zap Calendar Lite med RSVP-funktionen aktiv. Angriberen sender en GET-forespørgsel til kalenderens endpoint med en manipuleret eid-parameter, der indeholder en SQL-kommando som UNION SELECT. Din server svarer med navne på alle databasetabeller — herunder tabellen med Joomla-brugere og deres krypterede adgangskoder.
Automatiseret masseangreb via sårbarhedsscanner
En kriminel gruppe kører et automatiseret scannerværktøj, der gennemsøger tusindvis af hjemmesider på én time for kendte Joomla-komponenter. Når din side identificeres som sårbar, udtrækkes databaseindhold automatisk uden menneskelig indgriben. De stjålne data — e-mailadresser og adgangskoder — sættes til salg på det mørke net eller bruges til målrettede phishing-angreb mod dine kunder.
Kortlægning til videre angreb
En angriber bruger SQL-injektionen til at kortlægge hele din databases struktur: tabelnavne, kolonnenavne og relationer. Med denne viden kan angriberen formulere præcise angreb mod specifikke data — eksempelvis trække alle kundeordrer ud eller identificere administratorbrugere og derefter forsøge at gætte eller knække deres adgangskoder for at overtage hele hjemmesiden.
Ofte stillede spørgsmål
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection er en teknik, hvor en angriber indsætter skadelige databasekommandoer i et inputfelt eller en webadresse. Hvis hjemmesiden ikke tjekker input tilstrækkeligt, sendes kommandoen direkte til databasen, som udfører den. Det er farligt, fordi det kan afsløre alle oplysninger i din database — fra kundedata til adgangskoder — uden at angriberen behøver at logge ind.
Kan jeg se, om nogen allerede har udnyttet fejlen på min hjemmeside?
Det kan du delvist ved at gennemgå din webservers adgangslogge (access logs). Kig efter GET-forespørgsler til Joomla-kalenderens RSVP-endpoint, der indeholder usædvanlige tegn som enkelt-anførselstegn (‘), SQL-nøgleord som
UNION SELECTeller lange, kodede strenge. Din webhost kan hjælpe dig med at trække og analysere disse logfiler.Hvad sker der, hvis jeg bare venter med at gøre noget?
Automatiserede scanningsværktøjer, som hackere bruger, gennemsøger konstant internettet for kendte sårbarheder. Jo længere tid komponenten forbliver sårbar, jo større er risikoen for, at din side opdages og angribes. Databrud kan medføre bøder fra Datatilsynet, tab af kundernes tillid og udgifter til oprydning, der langt overstiger prisen på en hurtig sikkerhedsforanstaltning nu.
Har jeg pligt til at anmelde et databrud til Datatilsynet?
Ja, hvis du har grund til at tro, at personoplysninger er blevet kompromitteret, har du efter GDPR artikel 33 pligt til at anmelde bruddet til Datatilsynet inden for 72 timer efter, at du er blevet opmærksom på det. Anmeldelsen skal indeholde oplysninger om, hvad der er sket, hvilke data der er berørt, og hvilke foranstaltninger du har truffet. Kontakt din databeskyttelsesrådgiver (DPO) hurtigst muligt.
Gælder sårbarheden alle versioner af Zap Calendar Lite?
Den dokumenterede sårbarhed gælder specifikt version 4.3.4 af Zap Calendar Lite. Det er dog altid god praksis at holde alle Joomla-komponenter opdateret, uanset version, da ældre versioner ofte indeholder andre kendte fejl. Tjek komponentens officielle udgivelsesside for information om sikkerhedsopdateringer.
Kan en WAF (Web Application Firewall) beskytte mig?
En WAF kan fungere som en effektiv midlertidig beskyttelse ved at filtrere og blokere kendte SQL-injection-mønstre, inden de når din hjemmeside. Det er dog ikke en permanent løsning — den erstatter ikke en egentlig opdatering eller afinstallation af den sårbare komponent. Tænk på WAF som en bandage, mens du finder en permanent løsning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Zap Calendar Lite 4.3.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the ‘eid’ parameter. Attackers can send GET requests to the RSVP plugin endpoint with crafted SQL payloads to extract sensitive database information including database names and table structures.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
