CVE-2017-20266: SQL-injektion i Joomla SP Movie Database
Sårbarhed i Joomla-udvidelsen SP Movie Database giver hackere adgang til hele din database uden login.
Hvad er det?
CVE-2017-20266 er en SQL-injektionssårbarhed (en angrebsmetode hvor ondsindet kode smugles ind i databaseforespørgsler) i Joomla-udvidelsen SP Movie Database version 1.3. Fejlen sidder i søgefunktionen: ved at manipulere søgeordsfeltet i URL’en kan en angriber sende specialkonstruerede forespørgsler direkte til din database. Der kræves ingen login eller særlige rettigheder — angrebet kan udføres af hvem som helst med internetadgang til din hjemmeside.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med udvidelsen SP Movie Database i version 1.3 installeret og aktiv. Det drejer sig typisk om virksomheder, foreninger eller mediewebsites, der bruger denne udvidelse til at vise film- eller videokatalog-indhold. Hvis du er usikker på, om du har udvidelsen installeret, kan du tjekke under Udvidelser → Administrer i din Joomla-backend.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække følsomme oplysninger ud af din database — herunder brugernavne, krypterede adgangskoder, e-mailadresser og eventuelle kundedata. Der er desuden begrænset mulighed for at ændre data i databasen. I praksis betyder det, at:
- Kundeoplysninger og interne data kan blive stjålet og solgt eller offentliggjort.
- Administratorkontoens adgangskode kan kompromitteres og give fuld adgang til hjemmesiden.
- Virksomheden kan ifalde ansvar under GDPR (databeskyttelsesreglerne) ved et datalæk.
- Hjemmesidens indhold kan manipuleres eller misbruges til videre angreb mod dine besøgende.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 på CVSS-skalaen (den internationale standard for alvorlighed af sikkerhedsfejl) og klassificeres som alvorlig. Den høje score skyldes, at angrebet kan udføres over internettet, uden særlige forudgående kundskaber, og uden at angriberen behøver et login. Fortroligheden af dine data er den primære risiko — en angriber kan læse hele databasens indhold. Angrebsfladen er bred, da alle Joomla-sites med den sårbare udvidelse er potentielle mål.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin for at beskytte din hjemmeside:
- Tjek om du er ramt: Log ind i din Joomla-backend og gå til Udvidelser → Administrer. Søg efter ‘SP Movie Database’ og notér versionen.
- Deaktivér udvidelsen øjeblikkeligt hvis du kører version 1.3, indtil en opdatering eller erstatning er på plads. Dette fjerner angrebsfladen med det samme.
- Opdatér eller udskift udvidelsen: Undersøg om udvikleren har udgivet en ny version uden sårbarheden. Er udvidelsen ikke opdateret, bør du overveje en alternativ løsning.
- Gennemgå dine logs: Bed din webudvikler eller hostingudbyder om at tjekke serverlogfiler for mistænkelige forespørgsler mod ‘searchresults’-visningen med usædvanlige søgeord.
- Skift adgangskoder: Skift adgangskoder for alle Joomla-administratorer og database-brugere som en sikkerhedsforanstaltning.
- Overvej en WAF: En Web Application Firewall (et sikkerhedslag foran din hjemmeside) kan blokere SQL-injektionsforsøg automatisk og er en god langsigtet investering.
Handl inden for 24-48 timer
Vores klare anbefaling er at deaktivere SP Movie Database-udvidelsen straks, hvis du kører version 1.3. SQL-injektionssårbarheder er velkendte og relativt lette at udnytte, og denne fejl kræver ingen forudgående adgang — alle med internetforbindelse kan potentielt angribe dig. Kontakt din webudvikler eller Auroa for hjælp til at vurdere, om din hjemmeside allerede har været udsat for forsøg, og for at finde en sikker erstatning til udvidelsen.
Tidslinje
Konkrete eksempler
Udtræk af administratoroplysninger
En angriber besøger din Joomla-hjemmesides søgeside og tilføjer SQL-kode direkte i søgefeltet i URL’en — f.eks. noget i stil med ?searchword=' UNION SELECT username,password FROM jos_users--. Databasen returnerer alle administratorernes brugernavne og krypterede adgangskoder. Angriberen kan herefter forsøge at knække adgangskoderne og overtage din hjemmeside fuldstændigt.
Masseudtræk af kundedata
Hvis din Joomla-installation indeholder en webshop eller medlemszone, kan angriberen systematisk udtrække tabeller med kundeoplysninger — navne, adresser, e-mails og ordrehistorik. Disse data kan sælges på det mørke net eller bruges til målrettede phishing-angreb (svindelmail der udgiver sig for at komme fra dig) rettet mod dine kunder.
Automatiseret scanning og angreb
Cyberkriminelle bruger automatiserede værktøjer, der konstant scanner internettet for kendte sårbare Joomla-udvidelser. Når dit site identificeres som kørende SP Movie Database 1.3, iværksættes angrebet automatisk — uden at en menneskelig angriber aktivt behøver at have valgt dig som mål. Du behøver ikke at være en stor virksomhed for at blive ramt; det handler om tilgængelighed, ikke størrelse.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en angriber smugler ondsindet kode ind i en forespørgsel til din database via et inputfelt — i dette tilfælde søgefeltet på din hjemmeside. Databasen kan ikke skelne den ondsindede kode fra legitime forespørgsler og udfører den. Resultatet kan være, at angriberen kan læse, ændre eller i værste fald slette alt indhold i din database.
Kan jeg se, om nogen allerede har udnyttet sårbarheden mod mig?
Ja, delvist. Du eller din webudvikler kan gennemgå serverlogfiler og lede efter GET-forespørgsler til URL-stier, der indeholder searchresults med usædvanlige eller lange søgeordsværdier. Tegn som enkeltcitater (‘), SQL-nøgleord som ‘UNION’, ‘SELECT’ eller ‘FROM’ i søgefeltet er røde flag. En professionel loganalyse anbefales.
Er det nok bare at deaktivere udvidelsen midlertidigt?
Deaktivering fjerner den umiddelbare risiko, fordi angrebsvejen via søgefunktionen lukkes. Men det er kun en midlertidig løsning. Du bør stadig undersøge, om din database allerede er blevet tilgået uden tilladelse, skifte adgangskoder og finde en permanent erstatning eller opdateret version af udvidelsen.
Gælder GDPR, hvis mine kundedata er lækket?
Ja. Hvis personoplysninger (f.eks. navne, e-mailadresser eller adgangskoder) er tilgået af uvedkommende, er du som dataansvarlig forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer efter du bliver bekendt med det. Du skal også overveje, om de berørte personer skal underrettes. Tag kontakt til en juridisk rådgiver eller Auroa, hvis du er i tvivl.
Hvad er en Web Application Firewall, og har jeg brug for en?
En Web Application Firewall (WAF) er et sikkerhedslag, der sidder foran din hjemmeside og automatisk filtrerer skadelig trafik fra — herunder SQL-injektionsforsøg. For mange SMV’er er det en overkommelig og effektiv sikkerhedsforanstaltning, der kan beskytte mod en lang række angreb. Populære løsninger inkluderer Cloudflare WAF og Sucuri, der begge tilbyder planer til rimelige priser.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla SP Movie Database 1.3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the searchword parameter. Attackers can send GET requests to the searchresults view with crafted SQL payloads in the searchword parameter to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.