CVE-2019-25749: SQL-injektion i Joomla J-CruisePortal
SQL-injektionsfejl i Joomla-plugin J-CruisePortal giver indloggede angribere adgang til hele din database.
Hvad er det?
CVE-2019-25749 er en SQL-injektionssårbarhed (en fejl hvor angribere kan sende skadelige databasekommandoer) i Joomla-pluginnet J-CruisePortal version 6.0.4. Fejlen findes i et felt kaldet guest_adult, som bruges når besøgende søger efter krydstogtrejser. En angriber kan sende en særligt udformet forespørgsel til hjemmesidens cruises-endpoint og dermed narre systemet til at udføre egne SQL-kommandoer direkte mod din database. Det kræver blot at angriberen har en bruger på siden — fx som registreret kunde.
Hvem rammer det?
Sårbarheden rammer dig, hvis din hjemmeside kører Joomla og har J-CruisePortal version 6.0.4 installeret. Det drejer sig typisk om rejsebureauer, krydstogtformidlere og turistvirksomheder, der bruger dette plugin til at vise og booke krydstogtrejser. Har du ikke dette specifikke plugin installeret, er du ikke i risikogruppen.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Trække følsomme data ud af databasen — herunder kundeoplysninger, e-mailadresser, adgangskoder og betalingsdata.
- Manipulere databaseindhold — fx ændre priser, slette bookinger eller oprette falske poster.
- Omgå adgangskontrol — ved at aflæse eller ændre brugerkonti og rettigheder.
Et databrud kan udløse GDPR-bøder, skadevolder dit omdømme og koster tid og penge at rydde op efter.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.1 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan NVD. Angrebet kræver ingen særlige tekniske forudsætninger ud over en brugerkonto på siden, og det kan udføres over internettet uden fysisk adgang. Fortroligheden af dine data er i høj risiko — angriberen kan læse det meste af din database. Der er også risiko for, at data kan ændres.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din hjemmeside:
- Tjek om J-CruisePortal er installeret — log ind i dit Joomla-adminpanel og gå til Udvidelser → Administrer. Søg efter J-CruisePortal og noter versionsnummeret.
- Opdater eller afinstaller pluginnet — undersøg om udvikleren har udgivet en ny version. Hvis der ikke findes en opdatering, bør du deaktivere og fjerne pluginnet midlertidigt.
- Begræns brugeroprettelse — overvej at slå offentlig selvregistrering fra, så kun kendte brugere har konti på siden.
- Gennemgå dine logfiler — bed din webudvikler eller it-leverandør om at gennemgå serverlogfiler for mistænkelig aktivitet mod cruises-endpointet.
- Skift adgangskoder — skift adgangskoder til din Joomla-administrator og databasebrugeren som en sikkerhedsforanstaltning.
- Kontakt din it-partner — har du ikke interne ressourcer, så få hjælp fra en fagperson til at vurdere om angrebet allerede har fundet sted.
Handl inden for 1-2 uger
Auroa anbefaler, at du straks tjekker om J-CruisePortal er installeret på din Joomla-hjemmeside. Findes pluginnet i version 6.0.4, bør det deaktiveres øjeblikkeligt, indtil en sikkerhedsopdatering foreligger. Kontakt os gerne, hvis du er i tvivl om din eksponering — vi kan hurtigt kortlægge risikoen og hjælpe dig med at komme sikkert videre.
Tidslinje
Konkrete eksempler
Angriber opretter konto og stjæler kundedata
En angriber registrerer sig som almindelig bruger på en rejsebureaus Joomla-hjemmeside. Derefter sender angriberen en manipuleret søgeforespørgsel til cruises-siden, hvor feltet for antal voksne gæster indeholder SQL-kode i stedet for et tal. Systemet udfører koden og returnerer hele kundetabellen med navne, e-mailadresser og telefonnumre — direkte til angriberen.
Automatiseret scanning finder sårbare sider
Et automatiseret hackerværktøj scanner tusindvis af Joomla-hjemmesider på én gang for at finde installationer med J-CruisePortal 6.0.4. Når en sårbar side identificeres, oprettes automatisk en testkonto, og SQL-injektionsangrebet udføres uden menneskelig indblanding. Ejeren af hjemmesiden opdager det typisk ikke, før skaden er sket.
Manipulation af bookingpriser i databasen
En konkurrent eller skadelig aktør logger ind med en eksisterende kundekonto og sender en SQL-kommando, der ændrer priserne på udvalgte krydstogtpakker i databasen til kr. 0. Kunderne bestiller rejserne til den manipulerede pris, og virksomheden opdager først fejlen ved fakturering — med et betydeligt tab til følge.
Ofte stillede spørgsmål
Skal min hjemmeside være hacket for at jeg er i fare?
Nej, ikke endnu. Men sårbarheden eksisterer aktivt i din løsning, og risikoen er reel. En angriber behøver blot at oprette en brugerkonto på din side for at udnytte fejlen. Jo hurtigere du handler, jo bedre.
Hvad er SQL-injektion?
SQL-injektion er en teknik, hvor en angriber smugler skadelige databasekommandoer (kaldet SQL) ind i et formularfelt på en hjemmeside. Hvis systemet ikke tjekker inputtet ordentligt, udfører databasen kommandoerne som om de var legitime — og angriberen får adgang til data, han ikke burde se.
Kan mine kunder være berørt?
Potentielt ja. Hvis angribere allerede har udnyttet sårbarheden, kan kundedata som navn, e-mail og eventuelle betalingsoplysninger være kompromitterede. Du bør gennemgå dine logfiler og overveje om du har pligt til at underrette berørte kunder i henhold til GDPR.
Er der en officiel opdatering til J-CruisePortal?
Per offentliggørelsesdatoen for denne CVE er der ikke bekræftet en officiel patch fra udvikleren. Hold øje med udvidelsens officielle kanal, og kontakt din it-leverandør for løbende at blive orienteret om nye opdateringer.
Hvad sker der hvis jeg ikke gør noget?
Uden handling forbliver din hjemmeside sårbar. Angribere scanner løbende internettet for kendte sårbarheder, og en uopdateret installation kan blive opdaget og udnyttet — potentielt med et databrud og GDPR-konsekvenser til følge.
Kan en firewall beskytte mig mod dette angreb?
En web application firewall (WAF) kan reducere risikoen ved at filtrere mistænkelige forespørgsler fra, men det er ikke en fuldgod løsning. Den bedste beskyttelse er at opdatere eller fjerne det sårbare plugin. En WAF kan bruges som et midlertidigt lag, mens du afventer en permanent løsning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla J-CruisePortal 6.0.4 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the guest_adult parameter. Attackers can send POST requests to the cruises endpoint with crafted SQL payloads in the guest_adult parameter to extract sensitive database information or manipulate database records.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
