CVE-2026-34105: Kritisk SQL-fejl i Guardian language-system
Kritisk SQL-fejl i Guardian language-system lader angribere trække hele databasen ud via ét enkelt URL-parameter.
Hvad er det?
Guardian language-system indeholder en alvorlig programmeringsfejl i filen translate_text.php. Systemet bruger direkte brugerinput (parameteren id i URL-adressen) til at bygge databaseforespørgsler uden at tjekke eller rense inputtet først. Det betyder, at en angriber kan manipulere forespørgslen og tvinge databasen til at udlevere oplysninger, den slet ikke burde give adgang til. Denne type angreb kaldes SQL-injektion (SQLi) og er en af de ældste og mest velkendte sikkerhedsfejl i webapplikationer.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Guardian language-system på deres webserver. Angriberen skal være logget ind (autentificeret) for at udnytte fejlen, men det kræver kun et gyldigt brugernavn og adgangskode — noget der kan erhverves via phishing, køb på dark web eller blot ved at gætte svage kodeord. Har du Guardian language-system installeret og tilgængeligt via internettet, er du potentielt i risiko.
Hvad kan ske?
En angriber, der udnytter sårbarheden, kan:
- Læse hele indholdet af din database — inklusive kundeoplysninger, login-data og interne dokumenter
- Udtrække brugernavne og krypterede (eller ukrypterede) adgangskoder
- Potentielt tilgå andre systemer, hvis de samme kodeord bruges flere steder
- Bruge de stjålne data til afpresning, videresalg eller yderligere angreb
Fortrolighed, integritet og tilgængelighed er alle vurderet til HIGH i CVSS-scoren, hvilket betyder, at konsekvenserne kan ramme alle aspekter af din datahåndtering.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,8 ud af 10 på CVSS-skalaen og klassificeres som Kritisk. Angrebet kræver ingen særlige tekniske kompetencer, kan udføres over internettet og kræver ingen interaktion fra dig eller dine medarbejdere. Den eneste begrænsning er, at angriberen skal have et gyldigt login til systemet. Det gør den til en af de farligste kategorier af sårbarheder.
Hvad gør jeg nu?
Handle hurtigt. Har du Guardian language-system installeret, bør du straks følge disse trin:
- Tjek om du er ramt: Kontakt din it-ansvarlige eller leverandøren af Guardian language-system og find ud af, hvilken version du kører.
- Begræns adgangen midlertidigt: Overvej at blokere offentlig adgang til translate_text.php via din webserver-konfiguration, indtil en opdatering er installeret.
- Installer opdatering: Følg med i leverandørens sikkerhedsopdateringer og installér den nyeste version så hurtigt som muligt.
- Gennemgå adgangslogs: Bed din it-ansvarlige om at tjekke serverlogfiler for usædvanlige forespørgsler mod translate_text.php.
- Skift adgangskoder: Hvis der er mistanke om, at systemet allerede er blevet tilgået uretmæssigt, bør alle brugerkodeord til systemet skiftes omgående.
- Vurder databrud: Hvis data kan være blevet kompromitteret, skal du overveje dine forpligtelser under GDPR — herunder eventuel anmeldelse til Datatilsynet inden for 72 timer.
Handl inden for 24-48 timer
Vi anbefaler, at du straks begrænser adgangen til den sårbare fil og kontakter leverandøren af Guardian language-system for en opdatering eller et midlertidigt fix. SQL-injektion er en velkendt angrebstype, og det er sandsynligt, at automatiserede scanningsværktøjer allerede leder efter sårbare installationer. Vent ikke på, at problemet løser sig selv — kontakt din it-partner i dag og få vurderet din eksponering.
Tidslinje
Konkrete eksempler
Udtræk af alle brugerkonti via URL
En angriber logger ind med et gyldigt — men lavprivilegeret — brugernavn og navigerer til adressen translate_text.php?id=1′ UNION SELECT username,password,3,4 FROM users–. Systemet returnerer alle brugernavne og adgangskoder fra databasen direkte i svaret. Angriberen har nu adgang til alle konti og kan logge ind som administrator.
Målrettet datatyveri fra kundekartotek
En konkurrent eller kriminel aktør erhverver et gyldigt login via en phishing-mail sendt til en medarbejder. Angriberen bruger herefter SQL-injektion til systematisk at trække virksomhedens hele kundedatabase ud, herunder navne, e-mailadresser og eventuelle betalingsoplysninger. Dataene sælges videre på dark web eller bruges til afpresning.
Ransomware-forberedelse via databaseadgang
En angriber bruger SQL-injektionen til at kortlægge databasestrukturen og identificere kritiske tabeller. Oplysningerne bruges til at planlægge et efterfølgende angreb, hvor databasen krypteres eller slettes, og virksomheden afkræves løsepenge for at få data tilbage. Selv om selve ransomwaren kræver yderligere adgang, giver SQL-injektionen et solidt udgangspunkt.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber sniger ondsindet kode ind i en databaseforespørgsel ved at manipulere input til en webapplikation. Databasen opfatter den ondsindede kode som gyldige instruktioner og udfører dem. Resultatet kan være, at angriberen får adgang til data, de slet ikke burde se — eller kan ændre og slette data.
Skal angriberen have et login for at udnytte fejlen?
Ja, denne sårbarhed kræver, at angriberen er logget ind i Guardian language-system. Det lyder som en begrænsning, men i praksis kan kodeord erhverves via phishing-mails, genbrug af lækkede kodeord fra andre tjenester eller blot ved at gætte svage adgangskoder. Det bør ikke give dig en falsk tryghedsfølelse.
Er der en opdatering tilgængelig?
På nuværende tidspunkt er der ikke bekræftet en officiel patch fra leverandøren. Hold øje med leverandørens hjemmeside og sikkerhedsbeskeder. I mellemtiden bør du overveje at begrænse adgangen til den sårbare fil eller tage systemet offline midlertidigt, hvis det er muligt.
Hvordan ved jeg, om nogen allerede har udnyttet sårbarheden?
Bed din it-ansvarlige om at gennemgå webserverens adgangslogs og lede efter usædvanlige forespørgsler mod filen translate_text.php — særligt forespørgsler der indeholder tegn som enkeltcitationstegn (‘), SQL-nøgleord som UNION, SELECT eller kommentartegn (–). Det er ikke altid muligt at se et angreb med det blotte øje, og professionel assistance kan være nødvendig.
Har vi pligt til at anmelde det til Datatilsynet?
Hvis du har grund til at tro, at persondata er blevet tilgået uretmæssigt som følge af denne sårbarhed, har du under GDPR pligt til at anmelde bruddet til Datatilsynet inden for 72 timer. Du skal også vurdere, om de berørte personer skal underrettes. Kontakt en juridisk rådgiver eller din DPO (databeskyttelsesrådgiver) ved tvivl.
Kan en firewall beskytte os, mens vi venter på en patch?
En WAF (Web Application Firewall — en softwarebaseret sikkerhedsfilter foran din hjemmeside) kan i mange tilfælde opdage og blokere SQL-injektionsforsøg. Det er dog ikke en garanti og bør kun betragtes som en midlertidig foranstaltning. Den eneste varige løsning er en opdatering af selve kildekoden i Guardian language-system.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Guardian language-system passes the id GET parameter directly into an unsanitized SQL query in translate_text.php (line 15): SELECT id, filename, extension, type FROM files where id = ‘”.$_GET[‘id’].”‘. An authenticated attacker can perform error-based SQL injection to extract database contents.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
