CVE-2019-25755
Alvorlig

CVE-2019-25755: SQL-fejl i Joomla vReview 1.9.11

Kritisk SQL-fejl i Joomla-tilføjelsen vReview giver angribere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
workaround
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2019-25755 er en SQL-injektionssårbarhed (en fejl hvor ondsindet kode kan smugles ind i databaseforespørgsler) i Joomla-komponenten vReview version 1.9.11. Fejlen sidder i et parameter kaldet cmId, som håndterer anmeldelser på dit website. En angriber kan sende en særligt udformet forespørgsel til dit website og derigennem trække oplysninger ud af din database – uden at have et brugernavn eller adgangskode. Det kræver ingen teknisk adgang i forvejen og kan udføres af hvem som helst på internettet.

Hvem rammer det?

Sårbarheden rammer alle, der driver et Joomla-baseret website med komponenten vReview installeret i version 1.9.11 eller tidligere. Det er typisk virksomheder, foreninger og organisationer, der bruger Joomla som indholdsstyringssystem (CMS) og har tilføjet vReview for at vise kundeanmeldelser. Har du ikke Joomla eller ikke vReview installeret, er du ikke berørt.

Hvad kan ske?

En angriber kan udnytte fejlen til at læse indholdet af din database. Det betyder i praksis:

  • Brugernavne og adgangskoder (typisk krypterede, men kan knækkes) til dit website kan blive stjålet.
  • Kundedata, e-mailadresser og andre personoplysninger kan blive eksponeret – med potentielle GDPR-konsekvenser.
  • Angriberen kan kortlægge din databases struktur og bruge den viden til yderligere angreb.
  • Dataene kan sælges videre eller bruges til phishing (falske e-mails der udgiver sig for at komme fra dig) mod dine kunder.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale NVD-system. Den scorer højt, fordi den kan udnyttes over internettet uden forudgående login og uden handling fra din side. Fortroligheden af dine data er i høj risiko. Det er ikke nødvendigt for angriberen at være teknisk ekspert – kendte værktøjer kan automatisere angrebet.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte dit website:

  1. Find ud af om du bruger vReview: Log ind på dit Joomla-adminpanel og gå til Udvidelser → Administrer. Søg efter vReview og notér versionsnummeret.
  2. Opdatér eller afinstallér komponenten: Undersøg om der er en opdateret version af vReview tilgængelig hos udvikleren. Hvis ikke, bør du deaktivere og afinstallere komponenten med det samme.
  3. Skift adgangskoder: Skift adgangskoden til din Joomla-adminbruger og alle andre brugere på sitet. Gør det samme for din databasebruger via dit hostingkontrolpanel.
  4. Tjek dine logs: Bed din webhost eller en it-partner om at gennemgå serverlogfiler for usædvanlige POST-forespørgsler til editReview-endpointet, som kan afsløre om nogen allerede har forsøgt et angreb.
  5. Overvej en Web Application Firewall (WAF): En WAF kan blokere SQL-injektionsforsøg automatisk og giver et ekstra beskyttelseslag foran dit website.
  6. Vurder GDPR-pligten: Hvis du har grund til at tro, at personoplysninger er blevet kompromitteret, skal du vurdere, om du har pligt til at anmelde bruddet til Datatilsynet inden for 72 timer.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du øjeblikkeligt deaktiverer vReview-komponenten på dit Joomla-site, hvis du ikke kan verificere, at en sikker opdatering er tilgængelig. Fejlen er nem at udnytte og kræver ingen forudgående adgang, hvilket gør den til et oplagt mål for automatiserede angrebsværktøjer. Kontakt os gerne, hvis du er usikker på om dit site er berørt, eller hvis du har brug for hjælp til at undersøge om et angreb allerede har fundet sted.

Tidslinje

19/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2019-25755 med en CVSS-score på 8.2 og beskriver den tekniske detalje om SQL-injektionsfejlen i vReview 1.9.11.
19/06/2026
Tekniske detaljer tilgængelige
Den offentlige beskrivelse inkluderer det konkrete angrebspunkt (cmId-parameteret og editReview-endpointet) samt angrebs­metoden med UNION-baseret SQL-injektion. Det gør det relativt let for angribere at reproducere angrebet.
20/06/2026
Automatiserede scannere forventes aktive
Erfaringsmæssigt begynder automatiserede angrebsscannere at søge efter sårbare installationer inden for 24-72 timer efter offentliggørelse af kendte SQL-injektionssårbarheder. Sider med vReview installeret er dermed i risikozonen.
09/07/2026
Patch-status uafklaret
På tidspunktet for CVE-offentliggørelsen er det ikke bekræftet, at udvikleren af vReview har udgivet en opdateret version, der retter sårbarheden. Følg udviklernes officielle kanaler for opdateringer.

Konkrete eksempler

Automatiseret scanning stjæler adminlogin

Et automatiseret værktøj scanner internettet for Joomla-sites med vReview installeret. Når det finder dit site, sender det en særligt udformet POST-forespørgsel til din server med ondsindet SQL-kode i cmId-parameteret. Inden for sekunder modtager angriberen en liste med brugernavne og krypterede adgangskoder fra din database – herunder din Joomla-adminbruger. Adgangskoderne forsøges derefter knækket offline.

Kundedata eksponeres og sælges

En angriber udnytter SQL-injektionen til at trække alle e-mailadresser og eventuelle personoplysninger ud af din database. Disse data pakkes og sættes til salg på et mørkt forum på internettet. Dine kunder modtager efterfølgende phishing-e-mails, der udgiver sig for at komme fra din virksomhed, og du opdager bruddet først, når kunderne henvender sig.

Konkurrent eller aktivist kortlægger din database

En målrettet angriber bruger UNION-baseret SQL-injektion til systematisk at kortlægge strukturen i din database: hvilke tabeller der findes, hvilke data de indeholder, og hvilken version af databasesoftwaren du kører. Disse oplysninger bruges til at planlægge et mere avanceret efterfølgende angreb eller til at finde yderligere sårbarheder i dit system.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla Component vReview 1.9.11 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the cmId parameter. Attackers can send POST requests to the editReview task endpoint with URL-encoded SQL UNION statements in the cmId parameter to extract database information including usernames, passwords, and database versions.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25755
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
workaround
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.