CVE-2017-20262: SQL-fejl i Joomla Ajax Quiz 1.8
Kritisk SQL-fejl i Joomla-tilføjelse giver hackere adgang til hele din database uden login.
Hvad er det?
CVE-2017-20262 er en SQL-injektionssårbarhed (en angrebsmetode hvor ondsindet kode smugles ind i databaseforespørgsler) i Joomla-tilføjelsen Ajax Quiz version 1.8. Fejlen sidder i en parameter kaldet cid, som tilføjelsen bruger til at hente quizindhold fra databasen. En angriber kan sende en særligt udformet webadresse til din hjemmeside og dermed narre databasen til at udlevere oplysninger, den slet ikke burde vise. Ingen adgangskode eller forudgående adgang er nødvendig — angrebet kan gennemføres af hvem som helst med internetadgang.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med Ajax Quiz-tilføjelsen i version 1.8 installeret og aktiveret. Det kan være:
- Foreninger og organisationer med Joomla-baserede hjemmesider
- Uddannelsesinstitutioner eller kursusudbydere der bruger quiz-funktionalitet
- Mindre virksomheder med selvbetjeningsløsninger eller interaktivt indhold på Joomla
Bruger du ikke Joomla, eller har du ikke Ajax Quiz installeret, er du ikke berørt.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække følsomme oplysninger ud af din database uden at efterlade synlige spor. Det kan konkret betyde:
- Lækage af brugernavne og adgangskoder til alle konti på hjemmesiden — herunder administratorkonti
- Eksponering af kundedata såsom e-mailadresser, navne og eventuelle betalingsoplysninger
- Kortlægning af din databases struktur, som kan bruges som springbræt til yderligere angreb
- Risiko for overtrædelse af GDPR hvis persondata kompromitteres
Angrebet påvirker fortrolighed og i begrænset omfang dataintegritet, men lukker ikke hjemmesiden ned.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 8.2 ud af 10, hvilket klassificeres som alvorlig. Det skyldes især:
- Ingen login kræves — hvem som helst på internettet kan forsøge angrebet
- Lav teknisk kompleksitet — angrebet kræver ikke avancerede færdigheder
- Høj fortrolighedsrisiko — store mængder følsomme data kan eksponeres
Angrebet sker via en simpel GET-forespørgsel (en normal webadresse), hvilket gør det nemt at automatisere og udføre i stor skala.
Hvad gør jeg nu?
Hvis du har Ajax Quiz 1.8 installeret på en Joomla-side, bør du handle nu. Følg disse trin:
- Tjek om du er berørt: Log ind i dit Joomla-administratorpanel og se under Udvidelser → Administrer. Søg efter ‘Ajax Quiz’ og noter versionen.
- Deaktiver tilføjelsen øjeblikkeligt hvis du kører version 1.8 og ikke har brug for den aktuelt — det fjerner angrebsfladen med det samme.
- Søg efter en opdatering: Tjek udvikleren af Ajax Quiz for en nyere version der retter fejlen. Opdater hurtigst muligt.
- Gennemgå adgangslogge: Bed din webhost eller it-leverandør om at tjekke serverlogge for mistænkelige forespørgsler mod index.php?option=com_ajaxquiz.
- Skift adgangskoder: Ændr adgangskoder til alle Joomla-administratorkonti som en sikkerhedsforanstaltning.
- Overvej en WAF: En Web Application Firewall (et digitalt skjold foran din hjemmeside) kan blokere SQL-injektionsforsøg automatisk.
Handl inden for 24-48 timer
Deaktiver Ajax Quiz 1.8 øjeblikkeligt, hvis du ikke aktivt bruger den — det er den hurtigste og sikreste løsning. Kontakt herefter din webbureau eller Joomla-administrator og bed dem vurdere, om en opdateret version er tilgængelig. Har du mistanke om, at hjemmesiden allerede er blevet angrebet, bør du kontakte en it-sikkerhedsspecialist og overveje at anmelde hændelsen til Datatilsynet, hvis persondata kan være kompromitteret.
Tidslinje
Konkrete eksempler
Automatiseret masseangreb mod Joomla-sider
En angriber bruger et automatiseret scanningsværktøj til at finde alle offentlige Joomla-hjemmesider med Ajax Quiz 1.8. For hver sårbar side sendes automatisk en GET-forespørgsel med ondsindet kode i cid-parametret. På få minutter har angriberen hentet tabelnavne, kolonnestrukturer og indholdet af brugertabellen — herunder krypterede adgangskoder — fra hundredvis af hjemmesider på én gang.
Målrettet angreb mod administratoradgang
En angriber har identificeret en specifik virksomheds Joomla-hjemmeside og ønsker adgang til administratorpanelet. Via SQL-injektionen udtrækker angriberen administratorkontoens brugernavn og den krypterede adgangskode fra databasen. Adgangskoden knækkes efterfølgende med et gængs værktøj, og angriberen logger ind som administrator og overtager fuld kontrol over hjemmesiden.
Dataindsamling til videresalg på dark web
En kriminel aktør udnytter sårbarheden til at trække alle registrerede brugeres e-mailadresser og personoplysninger ud af databasen på en forenings Joomla-side. Dataene sælges efterfølgende på dark web og bruges til målrettede phishing-angreb (svindelmails) mod foreningens medlemmer, der intetanende modtager troværdigt udseende mails med links til falske login-sider.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber smugler ondsindet kode ind i en forespørgsel til din database. I stedet for at hente det forventede indhold narres databasen til at udlevere eller ændre data, den ikke burde røre. Det er farligt, fordi det kan give adgang til alle oplysninger i databasen — herunder brugerdata og adgangskoder.
Kræver angrebet, at nogen kender til min hjemmeside i forvejen?
Nej. Angribere bruger automatiserede scanningsværktøjer, der systematisk leder efter Joomla-sider med Ajax Quiz installeret. Din hjemmeside behøver ikke at være et specifikt mål — det er nok at den er tilgængelig på internettet og kører den sårbare tilføjelse.
Kan jeg se om jeg allerede er blevet angrebet?
Det kan være svært at opdage uden teknisk hjælp. Be din webhost om at udlevere serverlogge og søg efter forespørgsler der indeholder com_ajaxquiz kombineret med usædvanlige tegn som enkelte apostroffer eller SQL-nøgleord. En it-sikkerhedsekspert kan hjælpe med at analysere logge for mistænkelig aktivitet.
Hvad sker der med GDPR, hvis data er blevet stjålet?
Hvis personoplysninger (navne, e-mails, adgangskoder osv.) er lækket, har du som virksomhed pligt til at anmelde bruddet til Datatilsynet inden for 72 timer efter du bliver opmærksom på det. Du skal også vurdere, om de berørte personer skal informeres direkte. Manglende anmeldelse kan medføre bøder.
Gælder fejlen også andre versioner af Ajax Quiz?
Den dokumenterede sårbarhed gælder specifikt version 1.8. Andre versioner er ikke bekræftet sårbare, men det anbefales altid at holde alle Joomla-tilføjelser opdateret til den nyeste version uanset dette.
Hvad er en WAF, og skal jeg have én?
En WAF (Web Application Firewall) er et digitalt skjold, der sidder foran din hjemmeside og filtrerer ondsindet trafik fra — herunder SQL-injektionsforsøg — inden det når din server. Mange webhosts tilbyder dette som tilkøb. Det er ikke en erstatning for at opdatere software, men et godt ekstra lag af beskyttelse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Ajax Quiz 1.8 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the cid parameter. Attackers can send GET requests to index.php with the option=com_ajaxquiz and view=ajaxquiz parameters to extract sensitive database information including table names and column structures.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.