CVE-2026-34106: Kritisk sårbarhed i Guardian language-system
Kritisk sårbarhed i Guardian language-system lader angribere køre vilkårlige kommandoer på din server uden login.
Hvad er det?
En kritisk sårbarhed er fundet i softwaren Guardian language-system. Fejlen ligger i en fil kaldet subtitles.php, hvor programmet tager en værdi fra brugerens webanmodning (kaldet id-parameteren) og sender den direkte videre til serverens kommandolinje uden at tjekke eller rense den først. Det svarer til at lade en fremmed skrive en seddel, som din server udfører som en ordre — uden at læse den igennem. En angriber behøver ikke at logge ind eller have særlige rettigheder for at udnytte fejlen. Det er nok at sende en særligt udformet webanmodning til den sårbare fil.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Guardian language-system til håndtering af undertekster eller sprogfiler, og som har systemet tilgængeligt via internettet eller et netværk. Særligt udsatte er:
- Medievirksomheder, uddannelsesinstitutioner eller indholdsudbydere der bruger Guardian til undertekst-generering
- Hostingudbydere eller webhoteller der kører softwaren på vegne af kunder
- Enhver installation hvor
subtitles.phper tilgængelig uden netværksbegrænsning
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan de køre hvilke som helst kommandoer på din server med de rettigheder, som webserveren kører med. I praksis betyder det:
- Datatyveri: Angriberen kan læse og kopiere alle filer på serveren, herunder kundedata, adgangskoder og fortrolige dokumenter.
- Ransomware: Angriberen kan installere ondsindet software (f.eks. ransomware, der krypterer dine data og kræver løsepenge).
- Fuldstændig overtagelse: Serveren kan bruges som springbræt til at angribe andre systemer i dit netværk.
- Nedetid: Angriberen kan slette eller ødelægge data og bringe hele driften i stå.
Hvor alvorligt er det?
Denne sårbarhed er bedømt som Kritisk med en CVSS-score på 9,8 ud af 10 — den højest mulige risikoklasse. Det skyldes en kombination af faktorer, der gør den særligt farlig:
- Ingen login krævet: Angriberen behøver ingen brugernavn, adgangskode eller særlige rettigheder.
- Nem at udnytte: Angrebet kræver lav teknisk kompleksitet og kan udføres over internettet.
- Fuld konsekvens: Fortrolighed, integritet og tilgængelighed er alle i spil — det vil sige at data kan stjæles, ændres og slettes.
Fejltypen (CWE-78) kaldes OS Command Injection og er en velkendt angrebsmetode, som erfarne angribere kender godt.
Hvad gør jeg nu?
Handles der hurtigt, kan du begrænse risikoen betydeligt. Følg disse trin i prioriteret rækkefølge:
- Find ud af om du er berørt: Kontakt din IT-ansvarlige eller leverandøren af Guardian language-system og spørg, om I bruger softwaren, og om
subtitles.phper tilgængelig fra internettet. - Bloker adgang midlertidigt: Hvis du ikke kan opdatere med det samme, så bed din IT-afdeling om at blokere adgang til
subtitles.phpi serverens konfiguration eller firewall. - Opdater softwaren: Installer den nyeste version af Guardian language-system, hvis leverandøren har udgivet en opdatering med rettelse af denne fejl.
- Gennemgå logfiler: Bed din IT-ansvarlige om at tjekke serverlogfiler for mistænkelig aktivitet rettet mod
subtitles.php— særligt forespørgsler med specielle tegn som;,|eller&iid-parameteren. - Skift adgangskoder: Hvis der er mistanke om kompromittering, bør adgangskoder til serveren og tilknyttede systemer skiftes omgående.
Handl inden for 24-48 timer
På grund af sårbarhedens kritiske alvorlighed og lave angrebsbarriere anbefaler vi, at du handler inden for 24-48 timer. Bloker adgangen til den sårbare fil som første nødforanstaltning, og kontakt straks leverandøren af Guardian language-system for at forhøre dig om en officiel rettelse. Har du ikke intern IT-kompetence til at håndtere dette, er du velkommen til at kontakte Auroa — vi kan hjælpe med at vurdere din eksponering og sætte de rette sikkerhedsforanstaltninger på plads.
Tidslinje
Konkrete eksempler
Angriber overtager serveren via URL-manipulation
En angriber opdager, at en virksomheds Guardian-installation er tilgængelig via internettet. Ved at sende en webanmodning til subtitles.php?id=1;whoami bekræfter angriberen, at serveren returnerer brugerkontoen, som webserveren kører under. Angriberen eskalerer herefter angrebet ved at sende kommandoer, der opretter en bagdør (en skjult adgang), og kan nu logge ind på serveren til enhver tid uden at bruge Guardian-softwaren.
Datatyveri af kundeoplysninger og fortrolige filer
En angriber bruger sårbarheden til at køre kommandoer, der søger efter databasekonfigurationsfiler på serveren og udlæser indholdet. Herved får angriberen fat i databaseadgangskoder og kan kopiere hele kundedatabasen — inklusiv navne, e-mails og betalingsoplysninger — til en ekstern server. Virksomheden opdager først bruddet uger senere, når data dukker op til salg på dark web.
Ransomware-installation via sårbar webserver
En angriber udnytter sårbarheden til at downloade og køre et ransomware-program direkte på serveren ved hjælp af kommandoen curl eller wget. Ransomwaren krypterer alle filer på serveren og tilknyttede netværksdrev, og virksomheden modtager et krav om løsepenge for at få deres data låst op igen. Uden backup er konsekvenserne katastrofale for driften.
Ofte stillede spørgsmål
Hvad er OS Command Injection, og hvorfor er det farligt?
OS Command Injection (CWE-78) er en fejltype, hvor et program utilsigtet lader brugere sende kommandoer videre til serverens operativsystem. Forestil dig en formular, der spørger om dit navn, men i stedet for dit navn skriver du en ordre til computeren — og computeren adlyder. Det er præcis hvad der sker her, og det er farligt fordi angriberen kan gøre næsten alt det samme, som en administrator kan.
Kræver angrebet særlige tekniske evner?
Nej. Denne type angreb er velkendt og veldokumenteret. Der findes offentligt tilgængelige værktøjer og vejledninger, der kan automatisere angrebet. En angriber med begrænset teknisk viden kan potentielt udnytte sårbarheden ved at sende en simpel webanmodning med ændrede parametre.
Er vi i fare, hvis vi ikke har Guardian language-system vendt mod internettet?
Risikoen er markant lavere, hvis systemet kun er tilgængeligt fra et lukket internt netværk. Men du er ikke fuldstændig sikker — en angriber, der allerede har fodfæste i dit netværk via phishing eller en anden sårbarhed, kan stadig forsøge at udnytte fejlen internt. Det anbefales at opdatere eller patche uanset hvad.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Bed din IT-ansvarlige om at gennemgå webserverens adgangslogfiler og lede efter kald til
subtitles.phpmed usædvanlige tegn iid-parameteren, f.eks. semikolon (;), pipe (|) eller og-tegn (&). Uventede processer, nye filer på serveren eller uforklarlig netværkstrafik kan også være tegn på kompromittering. Kontakt en sikkerhedsekspert ved mindste tvivl.Findes der en officiel patch fra leverandøren?
Per datoen for denne artikels udgivelse er der ikke bekræftet en officiel patch fra Guardian language-systems leverandør. Du bør kontakte leverandøren direkte for at få status på en rettelse. I mellemtiden er den bedste beskyttelse at blokere ekstern adgang til den sårbare fil.
Hvad er en midlertidig løsning (workaround), hvis vi ikke kan opdatere nu?
Den mest effektive midlertidige løsning er at blokere al adgang til
subtitles.phpvia din webservers konfiguration (f.eks. en.htaccess-regel i Apache eller en location-blok i Nginx) eller via en firewall-regel. Din IT-ansvarlige kan hjælpe med dette. Det er ikke en permanent løsning, men det lukker den umiddelbare angrebsvej.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Guardian language-system passes the id GET parameter directly into a PHP exec() call in subtitles.php (line 19) without sanitization: exec(“php jobs/subtitle_rendering.php “.$login_session.” “.$_GET[‘id’].” …”). No authentication is required. An unauthenticated remote attacker can append shell metacharacters to the id parameter to execute arbitrary OS commands on the server.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
