CVE-2019-25753
Alvorlig

CVE-2019-25753: SQL-fejl i Joomla VMap 1.9.6

Kritisk SQL-fejl i Joomla-komponent VMap giver ukendte angribere direkte adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
workaround
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2019-25753 er en SQL-injection-sårbarhed (en fejl hvor ondsindet kode kan smugles ind i databaseforespørgsler) i tilføjelseskomponenten VMap version 1.9.6 til Joomla!. Angribere kan sende en særligt udformet webanmodning til din hjemmeside og derved manipulere de databaseforespørgsler, som komponenten udfører. Det kræver ingen brugernavn, adgangskode eller særlige rettigheder — alle, der kan tilgå din hjemmeside, kan forsøge angrebet. Fejlen sidder i parameteren latlngbound, som bruges til at indlæse kortmarkører, og udnyttes via en simpel GET-anmodning til Joomla-systemets index.php-fil.

Hvem rammer det?

Sårbarheden rammer alle, der driver en Joomla!-hjemmeside med VMap-komponenten i version 1.9.6 installeret og aktiveret. Det er typisk virksomheder og organisationer, der bruger VMap til at vise interaktive kort med lokationer på deres hjemmeside — for eksempel butiksfinder, ejendomsmæglersider eller kontaktsider med kortvisning. Hvis du ikke bruger Joomla! eller ikke har VMap installeret, er du ikke i risikogruppen.

Hvad kan ske?

En angriber kan udnytte fejlen til at trække følsomme oplysninger ud af din database — herunder brugernavne, adgangskoder, e-mailadresser, kundedata og andre fortrolige oplysninger, der er gemt på din hjemmeside. Angriberen kan også forsøge at ændre data i databasen i begrænset omfang. I praksis betyder det risiko for datalæk, eksponering af personoplysninger (med potentielle GDPR-konsekvenser) og i værste fald, at angriberen skaffer sig adgang til administratorkontoen på din Joomla!-installation.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 8.2 ud af 10, hvilket klassificeres som alvorlig. Det skyldes primært, at angrebet kan udføres over internettet uden nogen form for login eller særlige forudsætninger, og at det kan kompromittere fortrolige data i høj grad. Der kræves ingen interaktion fra dine brugere, og angrebets kompleksitet er lav — det er med andre ord relativt nemt at udnytte for en angriber med grundlæggende teknisk viden.

Hvad gør jeg nu?

Følg disse trin for at beskytte din Joomla!-hjemmeside hurtigst muligt:

  1. Tjek om du bruger VMap: Log ind på din Joomla!-administrator og gå til Udvidelser → Administrer. Søg efter ‘VMap’ og notér versionsnummeret.
  2. Deaktiver komponenten midlertidigt: Hvis du bruger VMap 1.9.6, så deaktiver komponenten med det samme, indtil en opdatering er tilgængelig eller installeret. Det gøres under Udvidelser → Administrer ved at sætte komponenten som inaktiv.
  3. Opdater eller udskift komponenten: Undersøg om udvikleren af VMap har udgivet en opdateret version, der lukker denne sårbarhed. Hvis ikke, bør du overveje en alternativ kortkomponent.
  4. Gennemgå dine logfiler: Bed din webmaster eller IT-leverandør om at gennemgå serverlogfiler for mistænkelige anmodninger til index.php med parametrene option=com_vmap og task=loadmarker.
  5. Skift adgangskoder: Som en sikkerhedsforanstaltning bør du skifte adgangskoden til din Joomla!-administrator samt eventuelle databaseadgangskoder.
  6. Kontakt din IT-leverandør: Hvis du er i tvivl om noget af ovenstående, så kontakt din webmaster eller IT-support for hjælp.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Deaktiver VMap-komponenten øjeblikkeligt, hvis din hjemmeside kører version 1.9.6, og hold den deaktiveret, indtil en sikkerhedsopdatering er tilgængelig. Sårbarheden er nem at udnytte og kræver ingen teknisk ekspertise fra angriberens side. Få din webmaster til at gennemgå logfiler for tegn på allerede udnyttede anmodninger, og vurder om personoplysninger kan være blevet eksponeret — i så fald har du pligt til at underrette Datatilsynet inden for 72 timer i henhold til GDPR.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Den nationale sårbarhedsdatabase (NVD) offentliggjorde CVE-2019-25753 med en CVSS-score på 8.2, hvilket klassificerer den som alvorlig. Detaljer om den specifikke angrebsvektor via latlngbound-parameteren blev tilgængelige.
19/06/2026
Tekniske detaljer tilgængelige
Med offentliggørelsen af CVE'en er den præcise angrebsmetode — herunder den sårbare URL-struktur og parameter — offentligt tilgængelig, hvilket øger risikoen for automatiserede angrebsforsøg markant.
20/06/2026
Forventet stigning i scanningstrafik
Erfaringsmæssigt begynder automatiserede scanningsværktøjer og angribere at søge efter sårbare installationer inden for 24-48 timer efter offentliggørelse af en CVE med lav angrebskompleksitet. Joomla!-sites med VMap bør forvente øget ondsindet trafik.
09/07/2026
Officiel patch fra VMap-udvikleren
En officiel sikkerhedsopdatering fra udvikleren bag VMap-komponenten er endnu ikke bekræftet tilgængelig. Følg komponentens officielle kanal og Joomla! Extensions Directory for opdateringer.

Konkrete eksempler

Udtræk af administrator-adgangskode

En angriber sender en GET-anmodning til din hjemmeside på adressen index.php?option=com_vmap&task=loadmarker&latlngbound=[SQL-kode], hvor SQL-koden er konstrueret til at hente brugertabellen fra Joomla!-databasen. På den måde kan angriberen udtrække brugernavne og krypterede adgangskoder for alle administratorer på din hjemmeside. Med adgang til disse oplysninger kan angriberen forsøge at knække adgangskoderne offline og efterfølgende logge ind som administrator.

Masseudtræk af kundedata

Hvis din Joomla!-hjemmeside gemmer kundeoplysninger — for eksempel via et tilmeldingsformular, en webshop eller et nyhedsbrev — kan angriberen bruge SQL-injection til systematisk at dumpe hele databasen. Det kan resultere i, at navne, e-mailadresser, telefonnumre og eventuelle betalingsoplysninger havner i hænderne på cyberkriminelle, som efterfølgende kan sælge dem eller bruge dem til phishing-angreb mod dine kunder.

Automatiseret masseangreb via botnet

Efter CVE-offentliggørelsen kan automatiserede angrebsværktøjer (bots) programmeres til at scanne internettet for Joomla!-sites med VMap installeret og automatisk udnytte sårbarheden uden menneskelig indgriben. En angriber kan på den måde angribe tusindvis af hjemmesider på én gang uden at kende til dine specifikke data i forvejen — det er ikke et målrettet angreb, men et opportunistisk masseangreb.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component VMap 1.9.6 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code into the latlngbound parameter. Attackers can send GET requests to index.php with the option=com_vmap&task=loadmarker parameters containing SQL injection payloads to manipulate database queries and extract sensitive information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25753
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
workaround
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.