CVE-2019-25756: SQL-fejl i Joomla vAccount 2.0.2
Kritisk SQL-fejl i Joomla-komponenten vAccount 2.0.2 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2019-25756 er en SQL-injektion (en angrebsmetode hvor en hacker sniger skadelig kode ind i databaseforespørgsler) i tilføjelseskomponenten vAccount 2.0.2 til Joomla!-hjemmesider. Fejlen sidder i et URL-parameter kaldet vid på siden vaccount-dashboard/expense. En angriber kan sende en simpel webforespørgsel med manipuleret indhold og dermed tvinge databasen til at udlevere følsomme oplysninger — uden at skulle logge ind eller have særlige rettigheder. Det kræver ingen teknisk forberedelse og kan udføres fra hvor som helst på internettet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der driver en Joomla!-hjemmeside med komponenten vAccount i version 2.0.2 installeret. Det kan for eksempel være foreninger, webshops, konsulentfirmaer eller offentlige institutioner, der bruger vAccount til at håndtere økonomi eller udgifter direkte på hjemmesiden.
Hvad kan ske?
En angriber kan uden login læse indholdet af din database — herunder brugernavne, adgangskoder (evt. krypterede), kundedata og fortrolige forretningsoplysninger. Der er også en begrænset risiko for, at data kan manipuleres. Konkret kan det føre til:
- Lækage af persondata, som kan udløse bødekrav under GDPR
- Kompromitterede brugerkonti, hvis adgangskoder genbruges andre steder
- Tab af fortrolige kundeoplysninger eller forretningshemmeligheder
- Skade på virksomhedens omdømme og kundernes tillid
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 på den internationale CVSS-skala, hvilket klassificeres som alvorlig. Den scorer så højt, fordi:
- Angrebet kan udføres over internettet uden login
- Det kræver ingen teknisk kompleksitet
- Fortrolige data kan stjæles direkte
Det er ikke nødvendigt for angriberen at have adgang til din hjemmeside i forvejen — en enkelt webanmodning er nok.
Hvad gør jeg nu?
Tjek om du bruger vAccount-komponenten på din Joomla!-hjemmeside, og tag følgende skridt:
- Identificér komponenten: Log ind i dit Joomla!-kontrolpanel og gå til Udvidelser → Administrer. Søg efter ‘vAccount’ og notér versionen.
- Deaktivér eller fjern komponenten midlertidigt: Hvis du kører version 2.0.2, deaktivér komponenten straks indtil en opdatering er tilgængelig.
- Kontakt din webmaster eller hostingudbyder: Bed dem bekræfte, om komponenten er sårbar, og om der er tegn på misbrug i serverlogfiler.
- Tjek for opdatering: Undersøg om udvikleren bag vAccount har udgivet en ny version og opdatér hurtigst muligt.
- Gennemgå adgangsdata: Skift adgangskoder til Joomla!-admin og databasen, særligt hvis du mistænker kompromittering.
Handles inden for 24-48 timer
Vi anbefaler, at du deaktiverer vAccount-komponenten på din Joomla!-hjemmeside med det samme, hvis du kører version 2.0.2. Da der endnu ikke er udgivet en officiel opdatering, er deaktivering den mest effektive beskyttelse. Kontakt din webmaster eller et cybersikkerhedsfirma for at få gennemgået dine serverlogfiler og vurderet, om der allerede har været uautoriseret adgang til din database.
Tidslinje
Konkrete eksempler
Automatiseret datahøst via simpel URL
En angriber besøger din Joomla!-hjemmeside og tilføjer en manipuleret SQL-kommando i URL’en til vAccount-dashboardet. Uden at logge ind modtager angriberen databasens version og navne retur i svaret fra hjemmesiden — som et første skridt i at kortlægge og tømme hele databasen for kundedata og loginoplysninger.
Automatiseret scanning på tværs af tusindvis af Joomla-sider
Hackere bruger automatiserede programmer (bots) til at scanne internettets Joomla!-hjemmesider for tilstedeværelsen af vAccount-komponenten. Hjemmesider der kører den sårbare version, markeres automatisk som mål og angribes systematisk — din virksomhed behøver altså ikke at være udpeget specifikt for at blive ramt.
Udtræk af krypterede adgangskoder til videre brug
Via SQL-injektionen henter en angriber listen over brugerkonti og deres krypterede adgangskoder fra databasen. Disse forsøges derefter knækket med specialværktøjer, og hvis brugerne genbruger samme adgangskode på f.eks. e-mail eller netbank, kan angrebet sprede sig langt ud over selve hjemmesiden.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside bruger vAccount?
Log ind på din Joomla!-administration (typisk via dinhjemmeside.dk/administrator). Gå til menuen Udvidelser → Administrer og søg efter ‘vAccount’. Hvis den optræder i listen med version 2.0.2, er du berørt.
Kan jeg se, om nogen allerede har udnyttet fejlen?
Det kræver adgang til dine serverlogfiler. Bed din hostingudbyder eller webmaster om at søge efter usædvanlige GET-forespørgsler til stien /vaccount-dashboard/expense med mistænkeligt indhold i vid-parameteret. Tegn som enkelt-apostroffer (‘) eller SQL-nøgleord som SELECT, UNION eller FROM er advarselssignaler.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsteknik, hvor en hacker sniger skadelige kommandoer ind i et søgefelt eller en URL. Databasesystemet opfatter dem som legitime instruktioner og udfører dem — det svarer til, at en indbrudstyv finder en nøgle, der ved en fejl passer til din bagdør. Resultatet kan være, at hele din databases indhold udleveres til angriberen.
Er der en opdatering til vAccount, der løser problemet?
På nuværende tidspunkt er der ikke offentliggjort en officiel opdatering fra udvikleren, der retter denne sårbarhed. Det bedste du kan gøre er at deaktivere komponenten og holde øje med udgiverens hjemmeside og Joomla!s udvidelseskatalog for nyheder om en rettelse.
Kan min firewall beskytte mig mod dette angreb?
En Web Application Firewall (WAF) — et digitalt sikkerhedsfilter, der overvåger webtrafik — kan i mange tilfælde opdage og blokere SQL-injektionsforsøg. Det er dog ikke en garanti, og den bør ses som et supplerende lag, ikke en erstatning for at deaktivere den sårbare komponent.
Hvad sker der, hvis jeg ikke gør noget?
Hvis din hjemmeside allerede er tilgængelig på internettet, kan hvem som helst i teorien forsøge angrebet nu. Risikoen er, at fortrolige data — herunder kundeoplysninger — stjæles, hvilket ud over omdømmeskade kan medføre en anmeldelsespligt og potentielle bøder under GDPR.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component vAccount 2.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the vid parameter. Attackers can send GET requests to the vaccount-dashboard/expense endpoint with crafted SQL payloads in the vid parameter to extract sensitive database information including version and database names.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
