CVE-2017-20271
Alvorlig

CVE-2017-20271: SQL-fejl i Joomla StreetGuessr

Joomla-udvidelsen StreetGuessr Game 1.1.8 har en kritisk SQL-fejl, der giver angribere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Hurtigt — deaktivér nu, patch snarest

Hvad er det?

CVE-2017-20271 er en SQL-injektionssårbarhed (en fejl hvor angribere kan snige ondsindet kode ind i databaseforespørgsler) i Joomla-udvidelsen StreetGuessr Game version 1.1.8. Fejlen sidder i en bestemt URL-parameter kaldet catid. Når en angriber sender en særligt udformet webanmodning til din hjemmeside, kan han eller hun få databasen til at udlevere følsomme oplysninger — uden at skulle logge ind eller have særlige rettigheder. Det kræver ingen avancerede værktøjer og kan udføres af stort set enhver med lidt teknisk viden.

Hvem rammer det?

Sårbarheden rammer alle, der driver en Joomla-baseret hjemmeside med udvidelsen StreetGuessr Game i version 1.1.8 installeret og aktiveret. Det gælder typisk:

  • Virksomheder og foreninger med en Joomla-hjemmeside, der bruger denne udvidelse til interaktivt kortspil eller lignende underholdning
  • Webshops eller portaler bygget på Joomla, hvor udvidelsen er installeret men måske ikke aktivt bruges
  • Bureauer der har bygget Joomla-løsninger for kunder og potentielt har installeret udvidelsen

Har du ikke Joomla eller ikke denne specifikke udvidelse, er du ikke berørt.

Hvad kan ske?

En angriber kan udnytte fejlen til at trække oplysninger ud af din database. I praksis betyder det:

  • Datalæk: Angriberen kan læse databasens indhold — herunder brugernavne, adgangskoder (også krypterede), e-mailadresser og andre følsomme kundeoplysninger
  • Kortlægning af systemet: Angriberen kan finde ud af, hvilken database-software du kører og dens version, hvilket gør det lettere at planlægge yderligere angreb
  • Brud på GDPR: Hvis personoplysninger lækkes, kan du have pligt til at anmelde bruddet til Datatilsynet inden for 72 timer og risikere bøder

Sårbarheden påvirker primært fortrolighed (datalæk) og i mindre grad dataintegritet. Den lukker ikke din hjemmeside ned, men kan have alvorlige konsekvenser for dine kunder og dit omdømme.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale CVSS-system. Den scorer højt fordi:

  • Angrebet kan udføres over internettet fra hvor som helst i verden
  • Det kræver ingen login eller særlige rettigheder
  • Det kræver ingen handling fra dig eller dine brugere — angriberen handler alene
  • Angrebet er teknisk enkelt at udføre

Kombinationen af lav sværhedsgrad for angriberen og høj konsekvens for dig gør dette til en sårbarhed, der skal tages alvorligt og håndteres hurtigt.

Hvad gør jeg nu?

Følg disse trin for at beskytte din Joomla-hjemmeside:

  1. Tjek om du er berørt: Log ind i dit Joomla-kontrolpanel og gå til Udvidelser → Administrer. Søg efter ‘StreetGuessr’ og kontrollér versionen.
  2. Deaktivér udvidelsen midlertidigt: Hvis du finder StreetGuessr Game 1.1.8, deaktivér den straks indtil en opdatering er tilgængelig. Det fjerner angrebsfladen med det samme.
  3. Tjek for opdatering: Besøg udvidelsens officielle side på Joomla Extensions Directory og se, om der er en nyere version end 1.1.8 med en sikkerhedsrettelse.
  4. Overvej en Web Application Firewall (WAF): En WAF kan filtrere ondsindet trafik fra og blokere SQL-injektionsforsøg, mens du venter på en patch.
  5. Gennemgå dine logs: Bed din webhost eller IT-ansvarlige om at tjekke serverlogs for mistænkelige forespørgsler med parametrene option=com_streetguess og catid.
  6. Skift adgangskoder: Hvis du mistænker, at nogen allerede har udnyttet fejlen, så skift adgangskoder i din database og kontakt evt. Datatilsynet.
Tidsfrist

Hurtigt — deaktivér nu, patch snarest

Sådan ser Auroa det

Vores klare anbefaling er at deaktivere StreetGuessr Game-udvidelsen med det samme, hvis du har den installeret. En SQL-injektionsfejl af denne type er nem at udnytte, og da der endnu ikke foreligger en officiel patch, er deaktivering den hurtigste og sikreste løsning. Kontakt din webudvikler eller webhost for hjælp, og hold øje med udvidelsens opdateringsside for en kommende sikkerhedsrettelse.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2017-20271 blev officielt registreret og offentliggjort i det amerikanske National Vulnerability Database (NVD) med en CVSS-score på 8.2.
19/06/2026
Tekniske detaljer offentligt tilgængelige
Sammen med offentliggørelsen blev de tekniske detaljer om angrebet — herunder den sårbare parameter og angrebsmetoden — gjort tilgængelige, hvilket øger risikoen for udnyttelse markant.
19/06/2026
Ingen patch tilgængelig ved offentliggørelse
På tidspunktet for offentliggørelsen foreligger der ingen officiel rettelse fra udvikleren af StreetGuessr Game. Deaktivering af udvidelsen er den eneste tilgængelige beskyttelse.

Konkrete eksempler

Angriber udtrækker brugerdata via URL

En angriber besøger din Joomla-hjemmeside og sender en særligt udformet URL til adressen index.php?option=com_streetguess&view=maps&catid=1 UNION SELECT username,password FROM jos_users--. Databasen tolker dette som en gyldig forespørgsel og returnerer brugernavne og krypterede adgangskoder for alle brugere — herunder din administrator. Angriberen behøver ingen konto og efterlader kun sparsomme spor i logfilerne.

Automatiseret scanning finder din hjemmeside

Cyberkriminelle bruger automatiserede scanningsværktøjer, der kontinuerligt søger internettet igennem for kendte sårbare Joomla-udvidelser. Når dit websted identificeres som kørende StreetGuessr Game 1.1.8, startes et automatisk angreb inden for minutter — uden at nogen mennesker er direkte involveret. Denne type masseangreb rammer typisk hundredvis af hjemmesider på kort tid.

Kortlægning som springbræt til videre angreb

En angriber bruger sårbarheden til først at kortlægge din databases struktur og version. Med disse oplysninger kan han eller hun identificere yderligere kendte svagheder i netop din databaseversion og kombinere angrebene for at eskalere adgangen — for eksempel til at ændre indhold på din hjemmeside eller plante ondsindet kode (malware).

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla StreetGuessr Game 1.1.8 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the catid parameter. Attackers can send GET requests to index.php with the option=com_streetguess&view=maps parameters and inject SQL code in the catid parameter to extract sensitive database information including version and database names.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20271
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Hurtigt — deaktivér nu, patch snarest

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.