CVE-2019-25748
Alvorlig

CVE-2019-25748: SQL-injection i Joomla JHotelReservation

SQL-injection i Joomla-plugin JHotelReservation giver hackere adgang til hele din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

CVE-2019-25748 er en SQL-injection-sårbarhed (en teknik hvor angribere sniger skadelig kode ind i databaseforespørgsler) i Joomla-tilføjelsesprogrammet JHotelReservation version 6.0.7. Sårbarheden findes i søgefunktionen, nærmere bestemt i parameteren rooms, som ikke tjekker brugerinput ordentligt. Det betyder, at en angriber kan sende en særligt udformet anmodning til dit website og få direkte adgang til indholdet i din database — uden at skulle logge ind eller have særlige rettigheder. Fejlen er klassificeret som CWE-89, som er den officielle betegnelse for netop denne type database-angreb.

Hvem rammer det?

Sårbarheden rammer alle, der driver et Joomla-baseret website med JHotelReservation version 6.0.7 installeret. Det drejer sig typisk om:

  • Hoteller, pensionater og overnatningssteder med online booking
  • Turistbureauer og formidlere der bruger Joomla til reservationssystemer
  • Webshops og portaler der tilbyder hotel- eller udlejningssøgning via dette plugin

Angriberen behøver ingen forudgående viden om dit system og intet login — alle med internetadgang kan potentielt udnytte fejlen.

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber:

  • Læse hele din database — herunder kundedata, reservationer, kontaktoplysninger og loginoplysninger
  • Afsløre systemoplysninger — fx hvilken databaseversion du kører, som kan bruges til videre angreb
  • Potentielt ændre data — afhængigt af databaserettigheder kan angriberen manipulere med indhold
  • Bryde GDPR — et datalæk med personoplysninger kan medføre bøder og krav om underretning til Datatilsynet

Fortrolighedsrisikoen er høj (C=HIGH), mens risikoen for direkte ændring af data er begrænset men til stede (I=LOW).

Hvor alvorligt er det?

Sårbarheden har fået en CVSS-score på 8.2 ud af 10, hvilket klassificeres som Alvorlig. Det er en høj score, og det skyldes især:

  • Ingen login krævet — angrebets tærskel er meget lav
  • Angrebet sker over nettet — fra hele verden, automatiseret
  • Lav kompleksitet — selv mindre erfarne angribere kan udnytte det med kendte værktøjer
  • Høj fortrolighedsrisiko — hele databasens indhold kan potentielt eksponeres

Samlet set er dette en sårbarhed, der kræver hurtig handling.

Hvad gør jeg nu?

Du skal handle hurtigt. Her er hvad du konkret gør:

  1. Tjek din Joomla-installation — log ind i dit Joomla-backend og find ud af, om du har JHotelReservation installeret, og hvilken version det er.
  2. Opdater eller afinstaller plugin’et — undersøg om der er en opdateret version af JHotelReservation tilgængelig, og opdater straks. Er der ingen opdatering, bør du deaktivere og afinstallere plugin’et midlertidigt.
  3. Kontakt din webmaster eller IT-leverandør — hvis du ikke selv administrerer dit website, kontakt den ansvarlige og bed dem handle inden for 24 timer.
  4. Gennemgå dine logfiler — bed din IT-leverandør kigge i serverlogfiler for mistænkelig aktivitet mod søgefunktionen (søg på POST-anmodninger til søge-endpointet).
  5. Vurder om data er kompromitteret — hvis du mistænker et brud, skal du ifølge GDPR underrette Datatilsynet inden for 72 timer og informere berørte kunder.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer JHotelReservation-plugin’et på dit Joomla-site, indtil en opdateret og sikker version er tilgængelig. Sårbarheden er nem at udnytte og kræver intet login, hvilket gør den attraktiv for automatiserede angreb. Kontakt os gerne, hvis du er usikker på om dit site er berørt, eller hvis du har brug for hjælp til at vurdere omfanget af en eventuel eksponering.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2019-25748 blev officielt registreret og offentliggjort i NVD-databasen (National Vulnerability Database) med en CVSS-score på 8.2 (Alvorlig).
19/06/2026
Tekniske detaljer tilgængelige
Beskrivelsen af angrebet — herunder hvilken parameter der er sårbar og hvordan POST-anmodningen konstrueres — er offentligt tilgængelig, hvilket sænker tærsklen for at udnytte fejlen markant.
19/06/2026
Ingen officiel patch tilgængelig
På offentliggørelsestidspunktet er der ikke bekræftet en opdateret version af JHotelReservation, der lukker sårbarheden. Brugere opfordres til at deaktivere plugin'et.
20/06/2026
Automatiserede angreb mulige
Når tekniske detaljer om SQL-injection er offentlige, begynder automatiserede scannere typisk at udnytte dem inden for 24-48 timer. Alle sites med plugin'et bør betragtes som i umiddelbar risiko.

Konkrete eksempler

Automatiseret databaseudtræk

En angriber bruger et automatiseret SQL-injection-værktøj (fx sqlmap, som er frit tilgængeligt online) og sender tusindvis af anmodninger til dit hotels bookingformular. Inden for få minutter har værktøjet kortlagt din database og eksporteret alle kundenavne, e-mailadresser, telefonnumre og reservationshistorik. Du opdager ingenting, fordi der ikke sker nogen synlig fejl på websitet.

Credential harvesting til videresalg

En angriber udtrækker loginoplysninger fra din Joomla-database — herunder administratorens brugernavn og krypterede adgangskode. Hvis koden er svagt krypteret eller genbrugt, kan angriberen få fuld kontrol over dit website eller forsøge de samme loginoplysninger på din e-mail og netbank. Stjålne logindata sælges ofte videre på mørke netværk (dark web).

Målrettet phishing med stjålne data

En hacker trækker kundelisten ud fra din reservationsdatabase og sender herefter falske e-mails til alle dine gæster, der udgiver sig for at være dig. E-mails indeholder et link til en falsk betalingsside, der ser ud som din. Fordi hackeren kender gæsternes rigtige reservationsdetaljer, virker beskeden troværdig, og mange klikker. Resultatet er svindel begået i dit navn, og du hæfter for tilliden dine kunder mister.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla JHotelReservation 6.0.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the rooms parameter. Attackers can send POST requests to the search-hotels endpoint with crafted SQL payloads in the rooms parameter to extract sensitive database information including version details.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25748
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.