CVE-2019-25762: Joomla JoomProject lækker brugerdata
Joomla-tilføjelsesprogrammet JoomProject lækker brugerdata til alle – uden adgangskode eller login.
Hvad er det?
CVE-2019-25762 er en sikkerhedssårbarhed i tilføjelsesprogrammet (komponenten) JoomProject version 1.1.3.2 til hjemmesidesystemet Joomla!. Sårbarheden betyder, at hvem som helst på internettet kan sende en særligt udformet forespørgsel til din hjemmeside og få udleveret en liste over brugernes ID’er, navne og e-mailadresser – alt sammen i et maskinlæsbart format kaldet JSON. Der kræves ingen adgangskode, ingen konto og ingen særlig teknisk viden for at udnytte fejlen.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der driver en hjemmeside bygget på Joomla! og har installeret komponenten JoomProject i version 1.1.3.2. Det kan fx være virksomheder, foreninger eller offentlige institutioner, der bruger JoomProject til at vise projekter eller kundeoversigter på deres hjemmeside.
Hvad kan ske?
En angriber kan uden videre hente en liste over alle registrerede brugere på din hjemmeside – komplet med navne og e-mailadresser. Disse oplysninger kan misbruges til:
- Målrettede phishing-angreb (bedrageri-e-mails der udgiver sig for at komme fra dig)
- Spam og uønsket markedsføring rettet mod dine kunder eller medarbejdere
- Videresalg af persondata på kriminelle markedspladser
- Brud på GDPR, da persondata er tilgængeligt uden samtykke eller sikring
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.5 ud af 10, hvilket klassificeres som alvorlig. Den er særligt bekymrende fordi:
- Angrebet kan udføres fra hele internettet uden login
- Det kræver ingen teknisk kompleksitet at udnytte
- Dine brugeres persondata kan kompromitteres uden at du opdager det
- Konsekvenserne kan inkludere bøder efter GDPR-reglerne (databeskyttelsesforordningen)
Fortrolighed er højt påvirket, mens selve hjemmesidens drift ikke direkte forstyrres.
Hvad gør jeg nu?
Handl hurtigt for at beskytte dine brugeres persondata. Gør følgende:
- Tjek om du bruger JoomProject: Log ind i din Joomla-adminpanel og gå til Udvidelser → Administrer. Se om JoomProject er installeret og aktiv.
- Deaktiver komponenten midlertidigt: Hvis du finder JoomProject, deaktiver den straks indtil en opdatering eller alternativ løsning er på plads.
- Kontakt din webudvikler eller hostingudbyder: Bed dem undersøge om den sårbare URL (index.php?option=com_jpprojects&view=projects&tmpl=component&format=json) er tilgængelig udefra og bloker den eventuelt via serveren.
- Vurder om data er blevet lækket: Gennemgå dine serverlogfiler for usædvanlige forespørgsler til ovenstående URL. Kontakt eventuelt en IT-sikkerhedsrådgiver.
- Overvej din GDPR-forpligtelse: Hvis persondata kan have været tilgængeligt, skal du vurdere om det udløser en anmeldelsespligt til Datatilsynet inden for 72 timer.
Handl inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer JoomProject-komponenten, hvis den er installeret på din Joomla-hjemmeside. Da der ikke er en officiel opdatering tilgængelig, er deaktivering den sikreste løsning lige nu. Få din webudvikler til at blokere adgangen til den sårbare URL på serverniveau, og sørg for at vurdere om persondata kan være blevet tilgået – det kan have betydning for din GDPR-overholdelse.
Tidslinje
Konkrete eksempler
Automatiseret høst af e-mailadresser
En angriber skriver et simpelt script, der sender forespørgsler til din hjemmeside via den sårbare URL og automatisk indsamler alle brugeres navne og e-mailadresser. På få minutter har angriberen en komplet liste, som kan sælges til spammere eller bruges til målrettede phishing-angreb mod dine kunder – uden at du eller dine brugere opdager noget.
Phishing-angreb mod dine kunder
Med en liste over dine kunders navne og e-mailadresser sender en angriber troværdigt udseende e-mails, der udgiver sig for at komme fra din virksomhed. E-mailene beder modtagerne om at klikke på et link og opdatere deres betalingsoplysninger. Fordi angriberen kender modtagerens fulde navn og ved, at de er kunder hos dig, er e-mailene meget overbevisende.
GDPR-anmeldelse efter datahøst
En konkurrent eller ondsindet aktør henter listen over alle registrerede brugere på din Joomla-side og anmelder bruddet anonymt til Datatilsynet. Din virksomhed opdager først problemet, når Datatilsynet kontakter jer med spørgsmål om et muligt databrud – og I har ikke nogen logfiler, der kan afklare omfanget. Det medfører en tidskrævende og potentielt kostbar tilsynssag.
Ofte stillede spørgsmål
Hvordan ved jeg om min Joomla-hjemmeside er sårbar?
Log ind i dit Joomla-adminpanel og gå til Udvidelser → Administrer. Søg efter ‘JoomProject’. Er den installeret i version 1.1.3.2 og aktiveret, er du sandsynligvis sårbar. Du kan også bede din webudvikler om at tjekke det for dig.
Er der kommet en opdatering der løser problemet?
På nuværende tidspunkt er der ikke offentliggjort en officiel opdatering til JoomProject, der lukker denne sårbarhed. Den bedste beskyttelse er at deaktivere komponenten og blokere adgangen til den sårbare URL på serverniveau, indtil en løsning foreligger.
Skal jeg anmelde det til Datatilsynet?
Hvis du har grund til at tro, at persondata om dine brugere – fx navne og e-mailadresser – kan have været tilgængeligt for uvedkommende, har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer. Kontakt en GDPR-rådgiver hvis du er i tvivl om din konkrete situation.
Kan jeg se om nogen allerede har hentet mine brugerdata?
Det kan du undersøge ved at gennemgå dine webserverlogfiler. Kig efter forespørgsler der indeholder tekststrengen option=com_jpprojects&view=projects&format=json. Ser du mange sådanne opslag fra ukendte IP-adresser, kan data være blevet hentet. Din hostingudbyder kan hjælpe med at finde og tolke logfilerne.
Hvad er GDPR-risikoen ved denne sårbarhed?
Fordi sårbarheden eksponerer persondata (navne og e-mailadresser) uden de registreredes samtykke, kan det udgøre et brud på databeskyttelsesforordningen (GDPR). Konsekvenser kan inkludere bøder og krav om underretning af de berørte brugere. Jo hurtigere du handler og lukker hullet, jo bedre stiller du din virksomhed i en eventuel tilsynssag.
Kan jeg bare skjule hjemmesiden midlertidigt?
Det er ikke nok blot at sætte hjemmesiden i vedligeholdelsestilstand, da den sårbare URL stadig kan være tilgængelig i baggrunden. Du bør eksplicit deaktivere JoomProject-komponenten i Joomla-adminpanelet og bede din webserver om at blokere adgang til den specifikke URL via konfigurationsreglerne (fx .htaccess eller nginx-regler).
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component JoomProject 1.1.3.2 contains an information disclosure vulnerability that allows unauthenticated attackers to access sensitive user data by exploiting the projects endpoint. Attackers can send requests to index.php with option=com_jpprojects&view=projects&tmpl=component&format=json parameters to retrieve user IDs, names, and email addresses in JSON format.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
