CVE-2026-34099: SQL-injektion i Guardian language-system
Kritisk SQL-fejl i Guardian language-system giver hackere fuld adgang til databasen uden login.
Hvad er det?
Guardian language-system indeholder en alvorlig fejl i filen job_info.php. Systemet bruger direkte brugerinput fra web-adressen (en såkaldt GET-parameter) til at bygge en databaseforespørgsel — uden at tjekke eller rense inputtet først. Det kaldes SQL-injektion (en teknik hvor en angriber smugler skadelige kommandoer ind i en databaseforespørgsel). Resultatet er, at en angriber uden overhovedet at logge ind kan trække følsomme oplysninger ud af databasen, herunder brugeroplysninger, tabelindhold og systemkonfiguration.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der anvender Guardian language-system som en del af deres hjemmeside eller jobportal. Det kræver blot, at systemet er tilgængeligt fra internettet — ingen særlig konfiguration eller brugerkonto er nødvendig for at blive ramt. Særligt udsatte er virksomheder der bruger systemet til at vise jobopslag offentligt online.
Hvad kan ske?
En angriber kan udnytte fejlen til at:
- Læse hele databaseindholdet — herunder persondata, adgangskoder og forretningskritiske oplysninger
- Kortlægge systemets opbygning — hvilke tabeller og kolonner der findes, og hvilken databaseversion der kører
- Identificere den aktive databasebruger — som muligvis har udvidede rettigheder der kan misbruges yderligere
- I værste fald skrive til eller slette data — afhængigt af hvilke rettigheder databasebrugeren har
Angrebet kræver ingen forudgående adgang og kan udføres af stort set hvem som helst med basale tekniske kundskaber.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,8 ud af 10 (Kritisk) på den internationale CVSS-skala (en standardiseret metode til at måle alvorlighed af sikkerhedsfejl). Den scorer maksimalt på næsten alle parametre: angrebet kommer over netværket, kræver ingen særlig viden, intet login og ingen handling fra dig eller dine ansatte. Konsekvenserne for fortrolighed, dataintegritet og systemtilgængelighed er alle vurderet som høje. Det er med andre ord en af de mest alvorlige typer sårbarheder, der findes.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret gør:
- Kortlæg din eksponering: Find ud af om din virksomhed bruger Guardian language-system — spørg din IT-leverandør eller webmaster hvis du er usikker.
- Tag systemet offline midlertidigt: Hvis systemet er tilgængeligt fra internettet og der ikke findes en patch endnu, bør du overveje at tage den berørte side (job_info.php) midlertidigt ned eller blokere adgang til den via din firewall.
- Tjek for opdateringer: Kontakt leverandøren af Guardian language-system og spørg om der er udgivet en sikkerhedsopdatering. Installér den straks hvis den findes.
- Gennemgå dine logs: Bed din IT-ansvarlige om at gennemgå serverlogfiler for usædvanlige forespørgsler til job_info.php — det kan afsløre om nogen allerede har forsøgt et angreb.
- Skift adgangskoder: Hvis databasen kan have været tilgået, bør du skifte adgangskoder til alle systemer der deler legitimationsoplysninger med den berørte database.
- Anmeld brud på datasikkerhed: Hvis du har grund til at tro at persondata er tilgået, har du pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Handl inden for 24 timer
Vi anbefaler at du omgående kontakter din IT-leverandør og beder dem vurdere om jeres installation af Guardian language-system er sårbar. Indtil en officiel opdatering er tilgængelig, bør adgangen til den berørte fil blokeres via jeres webserver eller firewall. Denne type sårbarhed er nem at udnytte automatisk af scanning-værktøjer på internettet, så jo hurtigere du handler, jo bedre.
Tidslinje
Konkrete eksempler
Angriber læser hele jobdatabasen via web-adressen
En angriber besøger jeres jobportal og ændrer web-adressen fra job_info.php?id=5 til job_info.php?id=5′ UNION SELECT table_name,2,3,4 FROM information_schema.tables–. Systemet sender denne manipulerede forespørgsel direkte til databasen, som returnerer en liste over alle tabeller — inklusive tabeller med brugerdata, adgangskoder og interne oplysninger. Angriberen kan herefter systematisk tømme disse tabeller for indhold.
Automatiseret scanning finder og udnytter fejlen
Et automatiseret hackerværktøj (f.eks. SQLMap, som er frit tilgængeligt) scanner internettet for kendte sårbare URL-mønstre. Det finder jeres job_info.php, bekræfter sårbarheden på få sekunder og begynder automatisk at udtrække databaseindhold — herunder e-mailadresser, navne og krypterede adgangskoder på ansøgere eller medarbejdere. Alt dette sker uden menneskelig indgriben og uden at I opdager det.
Konkurrent eller insider tilgår fortrolige jobansøgninger
En person med ond hensigt — det kan være en konkurrent, en utilfreds tidligere medarbejder eller en kriminel — udnytter fejlen til at læse alle indkomne jobansøgninger i databasen, herunder CPR-numre, adresser og CV-oplysninger. Disse data kan sælges på det mørke net eller bruges til identitetstyveri. Virksomheden opdager det muligvis slet ikke, medmindre der er etableret overvågning af databasen.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik hvor en angriber snyder et system til at udføre utilsigtede databasekommandoer ved at indlejre skadelig kode i et normalt input-felt eller en web-adresse. Det er farligt fordi det kan give adgang til alle data i databasen — herunder kundeoplysninger, adgangskoder og interne dokumenter — uden at angriberen behøver et password.
Skal man have særlige tekniske færdigheder for at udnytte denne sårbarhed?
Nej. Denne type angreb er velkendt og veldokumenteret, og der findes frit tilgængelige værktøjer på internettet der kan automatisere det. Det betyder at selv relativt uerfarne angribere kan udnytte fejlen. Sårbarheden kræver heller ikke et login eller særlig adgang — det er nok at kunne tilgå hjemmesiden.
Hvordan ved jeg om mit system er blevet angrebet?
Se på dine serverlogfiler efter usædvanlige web-adresser med mærkelige tegn som enkelt-anførselstegn (‘), dobbelt-bindestreg (–) eller SQL-nøgleord som UNION, SELECT eller information_schema i forbindelse med job_info.php. Din IT-leverandør eller webmaster kan hjælpe dig med at gennemgå loggene. Bemærk dog at et angreb ikke altid efterlader tydelige spor.
Er jeg forpligtet til at gøre noget over for mine kunder eller myndighederne?
Hvis du har mistanke om at persondata er blevet tilgået eller lækket, ja. Ifølge GDPR skal du anmelde et databrud til Datatilsynet senest 72 timer efter du bliver opmærksom på det. Hvis bruddet medfører høj risiko for de berørte personers rettigheder, skal du også underrette de pågældende personer direkte. Kontakt din databeskyttelsesrådgiver (DPO) eller juridisk rådgiver for vejledning.
Findes der en officiel rettelse til problemet?
På nuværende tidspunkt er der ikke bekræftet en officiel patch fra leverandøren. Du bør kontakte producenten af Guardian language-system direkte for at høre om status på en opdatering. I mellemtiden kan din IT-leverandør implementere midlertidige beskyttelsesforanstaltninger som f.eks. en web application firewall (WAF) der blokerer kendte SQL-injektionsforsøg.
Hvad gør jeg hvis jeg ikke ved om vi bruger Guardian language-system?
Spørg den person eller virksomhed der har bygget eller drifter jeres hjemmeside. Du kan også bede dem om at tjekke om filen job_info.php findes på jeres webserver. Hvis I er i tvivl, er det altid en god idé at få lavet en grundlæggende teknisk gennemgang af jeres webapplikationer — særligt dem der er tilgængelige fra internettet.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Guardian language-system passes the id GET parameter directly into an unsanitized SQL query in job_info.php (line 16): SELECT * FROM jobs where id = ‘”.$_GET[‘id’].”‘. No authentication is required. An unauthenticated attacker can perform error-based SQL injection to extract the database version, current user, schema names, and table contents.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
