CVE-2023-54357: Joomla com_booking lækker kundedata
Joomla-tilføjelsen com_booking 2.4.9 lækker navne, brugernavne og e-mails til alle uden login.
Hvad er det?
Com_booking er et tilføjelsesprogram (en såkaldt komponent) til hjemmesidesystemet Joomla, som bruges til at håndtere bookinger og reservationer. I version 2.4.9 er der en fejl, der gør det muligt for en angriber at hente personoplysninger om dine kunder — uden at være logget ind. Fejlen sidder i en funktion kaldet getUserData, som fejlagtigt svarer forskelligt afhængigt af, om en bruger-ID eksisterer eller ej. Det betyder, at en angriber systematisk kan prøve ID-numre ét efter ét og på den måde kortlægge hele din kundedatabase med navne, brugernavne og e-mailadresser. Fejltypen kaldes CWE-203 (observable response discrepancy — altså en målbar forskel i svar).
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en Joomla-hjemmeside med com_booking-komponenten i version 2.4.9 installeret og aktiveret. Det er typisk virksomheder inden for hotel, klinik, restaurant, udlejning eller andre brancher, der bruger Joomla til online booking. Der kræves ingen login eller særlige rettigheder for at udnytte fejlen — alle, der kan tilgå din hjemmeside, kan potentielt misbruge den.
Hvad kan ske?
En angriber kan automatisk trække navne, brugernavne og e-mailadresser ud på dine registrerede kunder. Disse oplysninger kan efterfølgende bruges til:
- Målrettede phishing-angreb mod dine kunder i dit navn
- Spam- og markedsføringskampagner uden samtykke
- Forsøg på at overtage kundekonti ved at kombinere de fundne brugernavne med kendte adgangskoder (credential stuffing)
- Brud på GDPR, hvis personoplysninger lækkes — med potentiel bødepålæggelse og anmeldelsespligt til Datatilsynet til følge
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.5 ud af 10 (Alvorlig) på den internationale CVSS-skala. Den er særligt bekymrende, fordi den kræver ingen teknisk viden, intet login og ingen brugerinteraktion — angriberen behøver blot at sende simple forespørgsler til din hjemmeside. Kun fortrolighed (C=HIGH) er påvirket: der slettes eller ændres ikke data, men eksponeringen af personoplysninger er alvorlig nok i sig selv, særligt i lyset af GDPR-kravene om beskyttelse af kundedata.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte dine kunder og din virksomhed:
- Tjek om du er berørt: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Find com_booking og kontrollér versionsnummeret. Er det 2.4.9, er du berørt.
- Opdatér komponenten: Undersøg om leverandøren af com_booking har udgivet en opdateret version, og installér den straks via Joomla’s opdateringsmanager.
- Midlertidig afhjælpning: Hvis ingen opdatering er tilgængelig, overvej at deaktivere komponenten midlertidigt, eller bloker adgang til den sårbare URL-sti (index.php?option=com_booking&controller=customer&task=getUserData) via din webservers firewall eller .htaccess-fil.
- Gennemgå adgangslogge: Bed din webhost eller IT-ansvarlige om at gennemgå serverlogge for usædvanlige mængder af GET-forespørgsler mod den nævnte URL — det kan afsløre om nogen allerede har forsøgt at udnytte fejlen.
- Vurdér GDPR-forpligtelse: Hvis du har grund til at tro, at kundedata allerede er blevet hentet, skal du overveje om du har pligt til at anmelde bruddet til Datatilsynet inden for 72 timer.
- Informér berørte kunder: Hvis data er blevet kompromitteret, bør du orientere de berørte kunder om hændelsen og de risici, de kan blive udsat for.
Opdatér inden for 48 timer
Sårbarheden er nem at udnytte og kræver ingen teknisk ekspertise — det gør den attraktiv for opportunistiske angribere. Vi anbefaler, at du straks undersøger om com_booking er installeret på din Joomla-side, og enten opdaterer til en sikret version eller midlertidigt blokerer adgangen til den sårbare funktion. Kontakt din webmaster eller Auroa, hvis du er usikker på, hvordan du gennemfører disse trin.
Tidslinje
Konkrete eksempler
Automatisk høst af kundedata
En angriber skriver et simpelt script, der sender tusindvis af forespørgsler til din hjemmeside med stigende id-værdier: id=1, id=2, id=3 osv. For hvert gyldigt ID returnerer serveren navn, brugernavn og e-mailadresse på den tilsvarende kunde. På under en time kan angriberen have kompileret en komplet liste over alle dine registrerede kunder — uden nogensinde at have logget ind.
Phishing-kampagne i dit navn
Med en liste over dine kunders navne og e-mailadresser sender en angriber målrettede phishing-e-mails, der ser ud til at komme fra din virksomhed. E-maillerne beder kunderne om at bekræfte en booking eller opdatere betalingsoplysninger via et falsk link. Fordi angriberen kender kundernes rigtige navne og ved, at de har brugt din service, virker beskeden troværdig.
Credential stuffing mod kundernes konti
Angriberen kombinerer de høstede brugernavne med kendte adgangskoder fra tidligere datalæk (tilgængeligt på det mørke net). Han afprøver systematisk disse kombinationer mod din Joomla-login-side. Kunder, der genbruger adgangskoder fra andre tjenester, risikerer at få deres konto overtaget — og angriberen får nu adgang til bookinghistorik og eventuelle gemte betalingsoplysninger.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside allerede er blevet angrebet?
Se i din webservers adgangslogge (access logs) efter mange gentagne forespørgsler til URL’en index.php?option=com_booking&controller=customer&task=getUserData med skiftende id-værdier. Sådanne mønstre indikerer et enumeration-angreb (systematisk gennemgang af bruger-ID’er). Din webhost kan hjælpe dig med at fremskaffe og gennemgå disse logge.
Kan jeg bare slette com_booking-komponenten?
Ja, hvis du ikke aktivt bruger komponenten til booking, er afinstallation den sikreste løsning. Gå til Udvidelser → Administrer i Joomla og afinstallér com_booking. Husk dog at tage backup af din database først, da komponenten kan indeholde bookingdata, du har brug for.
Er jeg forpligtet til at anmelde dette til Datatilsynet?
Det afhænger af, om du har grund til at tro, at oplysningerne faktisk er blevet tilgået. GDPR kræver anmeldelse til Datatilsynet inden 72 timer, hvis der er sket et brud på persondatasikkerheden med risiko for de registrerede. Kontakt eventuelt en juridisk rådgiver eller Auroa for at vurdere din konkrete situation.
Påvirker dette kun Joomla-hjemmesider?
Ja, denne sårbarhed er specifik for Joomla-platformen og komponenten com_booking version 2.4.9. Har du din hjemmeside bygget på WordPress, Drupal eller andre systemer, er du ikke berørt af netop denne fejl.
Hvad er konsekvensen af et GDPR-brud for min virksomhed?
Datatilsynet kan udstede bøder på op til 2 % af din globale årsomsætning — eller op til 10 millioner euro — for manglende sikkerhedsforanstaltninger. Derudover risikerer du tab af kundernes tillid. Jo hurtigere du reagerer og dokumenterer dine tiltag, desto bedre stillet er du, hvis sagen bliver undersøgt.
Beskytter min webhost mig automatisk mod dette?
Ikke nødvendigvis. Mange webhosts tilbyder en Web Application Firewall (WAF) som tilkøb, der kan blokere mistænkelige forespørgselsmønstre. Men det grundlæggende ansvar for at holde dine Joomla-komponenter opdaterede ligger hos dig som hjemmesideejer. Tjek med din webhost om de tilbyder WAF eller automatisk opdatering af udvidelser.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla com_booking component 2.4.9 contains an information disclosure vulnerability that allows unauthenticated attackers to enumerate user accounts by exploiting the getUserData function in the customer controller. Attackers can send GET requests to index.php with option=com_booking, controller=customer, task=getUserData, and an id parameter to retrieve user names, usernames, and email addresses through brute force enumeration.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
