CVE-2026-34114: Kritisk fejl i Guardian language-system
Kritisk sårbarhed i Guardian language-system lader hackere køre egne kommandoer på din server uden login.
Hvad er det?
CVE-2026-34114 er en kritisk sårbarhed i softwaren Guardian language-system, nærmere bestemt i filen translate_text.php. Fejlen skyldes, at et felt kaldet id fra en webanmodning sendes direkte videre til serverens kommandolinje (via en PHP exec()-funktion) uden at blive tjekket eller renset først. Det kaldes OS Command Injection (CWE-78), og det betyder, at en angriber kan smugle ekstra kommandoer med ind i den webanmodning og få serveren til at udføre dem. Fejlen kræver hverken brugernavn, adgangskode eller særlige tekniske forudsætninger at udnytte — det er nok at sende en særligt udformet URL til det berørte system.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der anvender Guardian language-system og har systemet tilgængeligt via internettet eller et internt netværk. Det kan eksempelvis dreje sig om virksomheder, der bruger systemet til at håndtere oversættelser eller flersprogede indholdsløsninger. Hvis din virksomhed kører dette system på en webserver — hvad enten det er hostet hos jer selv eller via en ekstern udbyder — bør du handle nu.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan uden at logge ind:
- Køre vilkårlige kommandoer på din server (fuld kontrol over servermiljøet)
- Stjæle fortrolige data, herunder kundeoplysninger, adgangskoder og forretningskritiske dokumenter
- Installere bagdøre eller ransomware (software der låser dine filer og kræver løsepenge)
- Slette eller manipulere data og filer på serveren
- Bruge din server som springbræt til angreb på andre systemer i dit netværk
Med en CVSS-score på 9.8 ud af 10 er dette en af de mest alvorlige typer sårbarheder — alle tre sikkerhedsdimensioner (fortrolighed, integritet og tilgængelighed) er i fare.
Hvor alvorligt er det?
CVSS-scoren er 9.8 (Kritisk), hvilket er tæt på det højest mulige. Angrebet kan udføres over netværket uden nogen form for login, det kræver ingen særlig ekspertise, og der er ingen begrænsende faktorer, der forsinker eller vanskeliggør et angreb. Det er sjældent, at en sårbarhed scorer så højt på alle parametre. Risikoen for dit system er ekstremt høj, så længe det er eksponeret og ikke patchet.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — gerne inden for 24-48 timer:
- Identificér om du er ramt: Kontakt din IT-ansvarlige eller leverandør og spørg, om I kører Guardian language-system. Tjek om filen
translate_text.phper tilgængelig via internettet. - Bloker ekstern adgang øjeblikkeligt: Hvis systemet er tilgængeligt fra internettet, så begræns adgangen via firewall (en digital mur der styrer netværkstrafik) eller ved at kræve VPN-login, indtil en patch er installeret.
- Hent og installér opdateringen: Undersøg om leverandøren af Guardian language-system har udgivet en sikkerhedsopdatering, og installér den med det samme.
- Gennemgå dine logs: Bed din IT-ansvarlige om at undersøge serverlogfiler (registreringer over aktivitet på serveren) for mistænkelig aktivitet fra perioden op til nu — særligt uventede kald til
translate_text.php. - Skift adgangskoder: Ændr adgangskoder til systemer og databaser, der er tilgængelige fra den berørte server, da de kan være kompromitterede.
- Kontakt en sikkerhedsekspert: Har du mistanke om, at nogen allerede har udnyttet fejlen, bør du kontakte en cybersikkerhedsspecialist og eventuelt anmelde det til Datatilsynet, hvis personoplysninger kan være berørt.
Handl inden for 24-48 timer
Denne sårbarhed er kritisk og bør behandles som en akut hændelse. Bloker øjeblikkelig ekstern adgang til det berørte system og installér den tilgængelige sikkerhedsopdatering hurtigst muligt. Gennemgå dine serverlogs for tegn på, at nogen allerede har forsøgt at udnytte fejlen — jo tidligere du opdager et eventuelt indbrud, desto bedre muligheder har du for at begrænse skaden. Har du ikke internt IT-personale til at håndtere dette, anbefaler vi, at du straks kontakter en ekstern it-sikkerhedskonsulent.
Tidslinje
Konkrete eksempler
Direkte serverovertagelse via URL
En angriber besøger din virksomheds hjemmeside og opdager, at I kører Guardian language-system. Ved at sende en særligt udformet URL — fx translate_text.php?id=1;whoami — kan angriberen få serveren til at udføre kommandoen whoami og returnere, hvilken bruger serveren kører som. Herfra kan angriberen eskalere til at hente filer, oprette nye brugerkonti eller installere skadelig software, alt sammen uden at logge ind med et brugernavn eller en adgangskode.
Installation af ransomware på serveren
En cyberkriminel scanner internettet automatisk for servere med den sårbare fil tilgængelig. Når scanningen finder jeres server, sendes en kommando via id-parametret, der downloader og starter et ransomware-program (software der krypterer jeres filer og kræver løsepenge for at låse dem op igen). I oplever pludselig, at alle filer på serveren er krypterede og utilgængelige, og der vises en besked om, at I skal betale for at få dem tilbage.
Stille datatyveri af kundeoplysninger
En angriber bruger sårbarheden til lydløst at kopiere databasefiler eller konfigurationsfiler fra serveren, herunder kundenavne, e-mailadresser, telefonnumre og eventuelt betalingsoplysninger. Dataene sendes til en ekstern server kontrolleret af angriberen. I opdager intet usædvanligt, men jeres kundedata er nu i uvedkommendes hænder — med risiko for GDPR-bøder og tab af kundernes tillid til følge.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis Guardian language-system kun kører internt i vores netværk?
Risikoen er lavere, hvis systemet udelukkende er tilgængeligt internt, men du er ikke fuldstændig beskyttet. En angriber, der allerede har adgang til dit interne netværk — fx via phishing eller en anden kompromitteret computer — kan stadig udnytte sårbarheden. Det anbefales derfor stadig at opdatere systemet hurtigst muligt og overvåge for mistænkelig aktivitet.
Hvordan ved jeg, om nogen allerede har udnyttet fejlen?
Bed din IT-ansvarlige om at gennemgå webserverens logfiler og lede efter usædvanlige anmodninger til filen
translate_text.php— særligt anmodninger, der indeholder specialtegn som semikolon, pipes (|) eller andre skaltegn iid-parametret. Uventede nye filer på serveren, nye brugerkonti eller pludselig høj serverbelastning kan også være tegn på et indbrud.Hvad er OS Command Injection, og hvorfor er det så farligt?
OS Command Injection (CWE-78) opstår, når et program tager input fra brugeren og sender det direkte videre til operativsystemets kommandolinje uden at tjekke det for farlige tegn. Det er farligt, fordi angriberen i praksis kan give serveren ordrer — som om vedkommende sad foran computeren med fuld adgang. I dette tilfælde kræves der ikke engang et login, hvilket gør det særligt alvorligt.
Er vores data i fare, selvom vi ikke har mærket noget usædvanligt?
Ja, desværre. Mange angreb foregår lydløst og efterlader ikke synlige spor for en uerfaren bruger. En angriber kan have kopieret data, installeret en bagdør eller lagt en skjult adgang, uden at det er synligt i det daglige arbejde. Netop derfor er det vigtigt at undersøge logfiler og få en fagmand til at vurdere situationen, selvom alt tilsyneladende ser normalt ud.
Hvad sker der, hvis vi ikke opdaterer med det samme?
Så længe systemet er sårbart og tilgængeligt, er risikoen for angreb reel. Sårbarhedens høje alvorlighed og lave angrebskompleksitet gør den attraktiv for hackere, der systematisk scanner internettet for kendte svagheder. Jo længere tid der går, desto større er sandsynligheden for, at nogen forsøger at udnytte den mod dig.
Skal vi anmelde det til Datatilsynet, hvis vi er blevet angrebet?
Ja, hvis angrebet har medført adgang til eller lækage af personoplysninger (fx kundedata, medarbejderdata eller andre identificerbare oplysninger), har I som udgangspunkt pligt til at anmelde bruddet til Datatilsynet inden for 72 timer efter, at I er blevet bekendt med det — det fremgår af GDPR-forordningen. Kontakt en juridisk eller sikkerhedsfaglig rådgiver for at vurdere omfanget.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Guardian language-system passes the id GET parameter directly into a PHP exec() call in translate_text.php (line 18) without sanitization: exec(“php jobs/translate_text.php “.$login_session.” “.$_GET[‘id’].” …”). No authentication is required. An unauthenticated remote attacker can append shell metacharacters to execute arbitrary OS commands on the server.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
