CVE-2017-20269
Alvorlig

CVE-2017-20269: SQL-injektion i Joomla KissGallery

En gammel Joomla-udvidelse (KissGallery) har en kritisk fejl, der giver hackere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2017-20269 er en SQL-injektionssårbarhed (en type angreb hvor en hacker sender skadelig kode direkte ind i din database via en webadresse) i Joomla-udvidelsen KissGallery version 1.0.0. Fejlen sidder i den URL, som udvidelsen bruger til at vise billeder. En angriber kan udnytte denne URL til at sende egne databasekommandoer til din hjemmeside — helt uden at være logget ind. Det kræver ingen særlige tekniske forudsætninger og kan udføres fra internettet. Resultatet er, at angriberen kan læse og udtrække data fra din database, f.eks. brugernavne, adgangskoder og kundeoplysninger.

Hvem rammer det?

Sårbarheden rammer alle, der driver en Joomla-hjemmeside med udvidelsen KissGallery version 1.0.0 installeret og aktiv. Det er typisk virksomheder og organisationer, der bruger Joomla som hjemmeside-platform og har tilføjet dette galleri-plugin for at vise billeder. Hvis du ikke bruger Joomla, eller ikke har KissGallery installeret, er du ikke berørt.

Hvad kan ske?

En angriber kan uden login sende skadelige kommandoer til din database og hente følsomme oplysninger ud. Det kan inkludere:

  • Brugernavne og krypterede (eller ukrypterede) adgangskoder fra din hjemmeside
  • Kundeoplysninger som navne, e-mailadresser og eventuelle betalingsdata
  • Interne indstillinger og konfigurationsdata fra din Joomla-installation

Konsekvenserne kan være datalæk, brud på GDPR-reglerne og tab af kundernes tillid. Angriberen kan desuden bruge de stjålne oplysninger som springbræt til yderligere angreb mod din virksomhed.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) på den internationale CVSS-skala. Den scorer højt, fordi:

  • Angrebet kan udføres over internettet uden login eller særlige rettigheder
  • Det kræver ingen interaktion fra dig eller dine medarbejdere
  • Angrebet er teknisk enkelt at udføre for en hacker
  • Fortroligheden af dine data er i høj risiko

Det eneste, der holder scoren fra det absolutte maksimum, er at angriberen ikke kan ændre eller slette data (lav integritetspåvirkning) og ikke kan lamme din hjemmeside (ingen tilgængelighedspåvirkning).

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte din hjemmeside:

  1. Tjek om du bruger KissGallery: Log ind på din Joomla-administration og gå til udvidelseslisten. Kig efter KissGallery version 1.0.0.
  2. Deaktiver udvidelsen straks: Hvis du finder KissGallery, skal du deaktivere og afinstallere den med det samme, da der ikke er en opdateret version tilgængelig.
  3. Erstat med et alternativ: Find en anden, aktivt vedligeholdt galleri-udvidelse til Joomla, der modtager sikkerhedsopdateringer.
  4. Gennemgå dine logfiler: Bed din webhost eller IT-ansvarlige om at tjekke serverloggene for mistænkelig trafik mod kissgallery-adressen for at se, om nogen allerede har forsøgt et angreb.
  5. Skift adgangskoder: Skift adgangskoder for alle administratorbrugere på hjemmesiden som en sikkerhedsforanstaltning.
  6. Overvej en sikkerhedsscanning: Få en tekniker til at scanne din hjemmeside og database for tegn på uautoriseret adgang.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Da der ikke findes en officiel sikkerhedsopdatering til KissGallery 1.0.0, er den eneste sikre løsning at afinstallere udvidelsen øjeblikkeligt. Udvidelsen er gammel og ser ikke ud til at være under aktiv udvikling, så det er usandsynligt, at en patch kommer. Vi anbefaler, at du erstatter den med en nyere og vedligeholdt alternativ galleri-løsning. Kontakt din webmaster eller Auroa, hvis du har brug for hjælp til at vurdere din Joomla-installations samlede sikkerhed.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2017-20269 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD). Alle med KissGallery 1.0.0 er fra dette tidspunkt potentielt eksponerede for kendte angreb.
19/06/2026
Ingen patch tilgængelig ved offentliggørelse
Ved tidspunktet for offentliggørelsen er der ingen opdatering eller rettelse tilgængelig fra udvikleren af KissGallery. Udvidelsen ser ikke ud til at være under aktiv vedligeholdelse.
19/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og proof-of-concept-kode (en demonstration af, hvordan angrebet udføres) er tilgængeligt offentligt i forbindelse med offentliggørelsen, hvilket sænker barren for potentielle angribere markant.

Konkrete eksempler

Udtræk af adminadgangskoder via URL

En angriber besøger din Joomla-hjemmeside og tilføjer skadelig SQL-kode direkte i adressen til KissGallery-komponenten, f.eks.: dinhjemmeside.dk/index.php?option=com_kissgallery&…UNION SELECT username,password…. Hjemmesiden sender forespørgslen videre til databasen uden at kontrollere indholdet, og svaret returnerer administratorens brugernavn og adgangskode (hash). Hackeren kan dernæst forsøge at knække adgangskoden og overtage hele hjemmesiden.

Masseudtræk af kundedata

En angriber bruger et automatiseret scanningsværktøj til at identificere Joomla-sider med KissGallery installeret på tværs af internettet. For hver sårbar hjemmeside kører værktøjet automatisk SQL-kommandoer, der udtrækker alle e-mailadresser og personoplysninger fra databasen. Disse data kan sælges videre eller bruges til phishing-kampagner (bedrageri-e-mails) rettet mod dine kunder.

Kortlægning som springbræt til videre angreb

En angriber bruger SQL-injektionen til at kortlægge din databases struktur og hente konfigurationsoplysninger, herunder databasebrugerens navn og server-stier. Med disse oplysninger kan angriberen forsøge yderligere angreb mod din webserver eller andre systemer, der er forbundet til den samme database — f.eks. et internt administrationssystem.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component KissGallery 1.0.0 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the component URL path. Attackers can supply malicious SQL code in the kissgallery endpoint to execute arbitrary database queries and extract sensitive information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20269
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.