CVE-2026-34108
Kritisk

CVE-2026-34108: Kritisk fejl i Guardian language-system

Kritisk sårbarhed i Guardian language-system lader hackere køre egne kommandoer på din server uden login.

CVSS Score
9.8
Offentliggjort
01/07/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

Systemet Guardian language-system indeholder en farlig fejl i filen text.php. Filen tager en værdi fra en webadresse (kaldet en GET-parameter) og sender den direkte videre til serverens kommandolinje via en PHP-funktion kaldet exec(). Problemet er, at systemet ikke tjekker eller renser denne værdi, før det sker. Det betyder, at en angriber kan snige ekstra kommandoer ind i værdien og få serveren til at udføre dem. Fejltypen hedder OS Command Injection (CWE-78), og den kræver hverken password eller særlige rettigheder at udnytte — kun adgang til internettet.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der kører Guardian language-system på en server med internetadgang. Det gælder uanset størrelse. Da der ikke kræves nogen form for login for at udnytte fejlen, er alle installationer, der er tilgængelige fra nettet, i fare — også selv om I mener, at systemet kun bruges internt, hvis det er eksponeret mod internettet.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, får mulighed for at:

  • Læse, kopiere eller slette alle filer på serveren — herunder persondata, kundeoplysninger og forretningshemmeligheder.
  • Installere skadelig software, f.eks. ransomware (software der krypterer dine data og kræver løsepenge) eller bagdøre (skjulte adgange til systemet).
  • Bruge din server som platform til at angribe andre systemer — hvilket kan gøre jer ansvarlige i andres øjne.
  • Lukke serveren ned helt og dermed lamme jeres drift.

Angriberen opnår i praksis fuld kontrol over den maskine, der kører softwaren.

Hvor alvorligt er det?

CVSS-scoren er 9,8 ud af 10 — Kritisk. Det er den næsthøjeste mulige vurdering. Tre faktorer gør den særligt alvorlig:

  • Ingen login kræves: Hvem som helst på internettet kan forsøge angrebet.
  • Lav kompleksitet: Der kræves ingen særlige tekniske færdigheder eller specielt udstyr.
  • Fuld påvirkning: Fortrolighed, integritet og tilgængelighed er alle maksimalt truet — det vil sige, at data kan stjæles, ændres og systemet kan slukkes.

Denne type sårbarhed bør behandles med samme alvor som en ulåst hoveddør til jeres serverrum.

Hvad gør jeg nu?

Handl hurtigst muligt — helst inden for 24 timer. Følg disse trin:

  1. Kortlæg eksponeringen: Find ud af, om jeres installation af Guardian language-system er tilgængelig fra internettet. Spørg jeres IT-ansvarlige eller leverandør.
  2. Bloker adgangen midlertidigt: Hvis systemet er eksponeret, så begræns adgangen med det samme via en firewall (en digital mur der filtrerer netværkstrafik) eller ved at tage det offline, indtil en opdatering er på plads.
  3. Tjek for opdatering: Kontakt producenten af Guardian language-system eller tjek deres hjemmeside/GitHub for en sikkerhedsopdatering, og installer den straks hvis den findes.
  4. Gennemgå logfiler: Bed jeres IT-ansvarlige om at undersøge serverlogfiler (systemets historik over aktivitet) for tegn på, at nogen allerede har forsøgt eller gennemført et angreb.
  5. Anmeld ved mistanke om brud: Hvis I finder tegn på, at data er kompromitteret, har I pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Da denne sårbarhed ikke kræver nogen form for login og har den højest mulige angrebseffekt, anbefaler vi, at I behandler den som en akut situation. Begræns adgangen til systemet via firewall eller tag det offline med det samme, og kontakt jeres IT-leverandør i dag. Vent ikke på, at en opdatering dukker op af sig selv — vær proaktive og hold øje med producentens kommunikationskanaler for en patch.

Tidslinje

01/07/2026
CVE offentliggjort
NVD (National Vulnerability Database) offentliggør CVE-2026-34108 med en kritisk CVSS-score på 9,8. Sårbarheden i Guardian language-system beskrives detaljeret, herunder den præcise kodelinje i text.php.
01/07/2026
Tekniske detaljer tilgængelige
Fordi NVD-beskrivelsen angiver den præcise fil og kodelinje, har angribere straks nok information til at konstruere et angreb. Tidsvinduet fra offentliggørelse til første udnyttelsesforsøg forventes at være meget kort.
02/07/2026
Forventede første udnyttelsesforsøg
Sårbarhedstypen (OS Command Injection uden autentificering) er velkendt og let at udnytte med automatiserede scannere. Erfaringsmæssigt begynder automatiserede angreb inden for 24-48 timer efter offentliggørelse af denne type fejl.
01/07/2026
Patch-status: Ukendt
På offentliggørelsestidspunktet er der ikke bekræftet en officiel sikkerhedsopdatering fra producenten. Hold øje med producentens hjemmeside og sikkerhedskanaler for opdateringer.

Konkrete eksempler

Direkte serverovertagelse via webadresse

En angriber finder Guardian language-systemet ved hjælp af en automatisk scanner, der leder efter kendte sårbare systemer på internettet. Angriberen tilføjer blot et semikolon og en systemkommando til webadressen — f.eks. text.php?id=1;whoami — og serveren svarer med, hvilken bruger den kører som. Derfra er det kort vej til at installere en bagdør og overtage systemet fuldstændigt, uden at nogen har bemærket det.

Ransomware-installation via sårbarheden

En kriminel gruppe bruger sårbarheden til at udføre en kommando, der downloader og aktiverer ransomware på serveren. Inden for få minutter er alle filer på serveren krypteret, og virksomheden modtager en løsesumsbesked. Fordi angrebet sker via en webapplikation, er det svært at opdage i realtid uden et overvågningssystem.

Datatyveri af kundeinformation

En angriber bruger kommandoinjektionen til at pakke og sende virksomhedens database med kundeoplysninger til en ekstern server under dennes kontrol. Virksomheden opdager først tyveriet uger senere — eller slet ikke, medmindre de aktivt gennemgår logfiler. Et sådant databrud kan medføre GDPR-bøder og tab af kundernes tillid.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

Guardian language-system passes the id GET parameter directly into a PHP exec() call in text.php (line 15) without sanitization: exec(“php jobs/text.php “.$login_session.” “.$_GET[‘id’].” …”). No authentication is required. An unauthenticated remote attacker can append shell metacharacters to execute arbitrary OS commands on the server.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-34108
Offentliggjort
01/07/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.