CVE-2017-20278: SQL-fejl i Joomla JoomRecipe 1.0.3
Joomla-tilføjelsen JoomRecipe 1.0.3 har en kritisk SQL-fejl, der giver angribere adgang til din database uden login.
Hvad er det?
JoomRecipe er en tilføjelse (komponent) til hjemmesidesystemet Joomla, der bruges til at vise opskrifter på en hjemmeside. Version 1.0.3 indeholder en SQL-injection-sårbarhed — det vil sige, at en angriber kan sende særligt udformede forespørgsler til din hjemmeside og manipulere de kommandoer, der sendes til din database. Det sker via en parameter i webadressen kaldet category, og det kræver hverken adgangskode eller login. Angriberen behøver blot at kende adressen på din side og sende en GET-forespørgsel (en normal webforespørgsel) med ondsindet indhold.
Hvem rammer det?
Sårbarheden rammer alle, der kører en Joomla-hjemmeside med tilføjelsen JoomRecipe i version 1.0.3. Det kan typisk være:
- Restauranter, madbloggere eller fødevarevirksomheder med en Joomla-baseret hjemmeside
- Webshops eller informationssider bygget i Joomla, hvor en webudvikler har installeret JoomRecipe
- SMV’er, der har fået bygget deres hjemmeside af et bureau og måske ikke ved præcis, hvilke tilføjelser der er installeret
Er du usikker på, om din hjemmeside bruger Joomla eller JoomRecipe, kan din webansvarlige eller webbureauet tjekke det hurtigt.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække følsomme oplysninger ud af din database — f.eks.:
- Brugernavne og adgangskoder (også administratorens)
- Kundeoplysninger, e-mailadresser og kontaktdata
- Indhold, der ikke er offentligt tilgængeligt
Angriberen kan i et vist omfang også ændre data i databasen (lav integritetspåvirkning). Det kan betyde misbrug af konti, datalæk med GDPR-konsekvenser eller, at din hjemmeside bruges som springbræt til videre angreb. Din drifts- og tilgængelighed af hjemmesiden er ikke direkte truet af denne sårbarhed alene.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) af sikkerhedsorganisationen CVSS. Det skyldes primært:
- Ingen krav til angriberen: Angrebet kan udføres over internettet, kræver ingen særlige rettigheder og ingen handling fra brugeren.
- Lav angrebskompleksitet: Det er teknisk set ikke svært at udnytte — det kræver blot kendskab til teknikken.
- Høj fortrolighedspåvirkning: Hele databasens indhold kan potentielt læses.
CWE-89 (SQL Injection) er en af de mest velkendte og hyppigt udnyttede sårbarhedstyper i verden og bør tages meget alvorligt.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, helst inden for de næste 7 dage:
- Tjek om du er berørt: Bed din webansvarlige eller webbureauet om at bekræfte, om JoomRecipe er installeret på din Joomla-side, og hvilken version der kører.
- Opdatér eller fjern tilføjelsen: Kontrollér om der er udgivet en ny version af JoomRecipe, og opdatér i så fald straks. Hvis tilføjelsen ikke bruges aktivt, så deaktivér og afinstallér den.
- Tjek dine logs: Bed din hostingudbyder eller webansvarlige om at gennemgå serverloggene for mistænkelige forespørgsler til stien /all-recipes med usædvanlige category-parametre.
- Skift adgangskoder: Skift adgangskoden til din Joomla-administrator og databasebruger som en sikkerhedsforanstaltning.
- Vurdér databeskyttelse: Hvis du har grund til at tro, at oplysninger kan være tilgået, så vurdér om du har en GDPR-forpligtelse til at anmelde hændelsen til Datatilsynet inden for 72 timer.
Handl inden for 7 dage
Vi anbefaler, at du omgående kontakter din webansvarlige eller det bureau, der driver din Joomla-hjemmeside, og beder dem tjekke, om JoomRecipe er installeret. Hvis tilføjelsen ikke er strengt nødvendig, så fjern den helt — det er den hurtigste og sikreste løsning. Overvej desuden at få en generel sikkerhedsgennemgang af din hjemmeside, da ét usikkert plugin kan være tegn på, at andre tilføjelser også er forældede.
Tidslinje
Konkrete eksempler
Udtræk af administratorens adgangskode
En angriber besøger din Joomla-hjemmeside og tilføjer ondsindet SQL-kode til webadressen i category-parameteren — f.eks. noget i stil med /all-recipes/1′ UNION SELECT username,password FROM jos_users–. Din hjemmeside sender denne kommando videre til databasen, som returnerer administratorens brugernavn og hashede adgangskode. Angriberen kan derefter forsøge at knække adgangskoden og overtage din Joomla-admin.
Masseindsamling af kundedata
Hvis din Joomla-side har en brugerdatabase med f.eks. nyhedsbrevstilmeldte eller registrerede kunder, kan angriberen systematisk trække alle e-mailadresser og brugeroplysninger ud via den samme teknik. Disse data kan sælges videre, bruges til phishing-angreb eller udgøre et GDPR-brud, som du er forpligtet til at indberette.
Automatiseret scanning og angreb
Cyberkriminelle bruger automatiserede værktøjer, der kontinuerligt scanner internettet for kendte sårbare Joomla-tilføjelser. Når CVE-detaljer er offentligt tilgængelige, kan bots finde din side og forsøge angrebet inden for timer — uden at en menneskelig angriber aktivt målretter dig. Det betyder, at selv en lille hjemmeside med lav trafik er i risikozonen.
Ofte stillede spørgsmål
Hvad er SQL injection, og hvorfor er det farligt?
SQL injection er en teknik, hvor en angriber sætter ondsindet kode ind i en webforespørgsel, som din hjemmeside sender videre til databasen. Databasen forstår det som en legitim kommando og adlyder — hvilket kan betyde, at angriberen kan læse, ændre eller i visse tilfælde slette data. Det er en af de ældste og mest udbredte angrebsmetoder på nettet.
Skal jeg bekymre mig, hvis jeg ikke bruger JoomRecipe aktivt?
Ja — selv hvis tilføjelsen er installeret men ikke i aktiv brug, kan den stadig udnyttes, så længe den er aktiveret på din Joomla-side. En angriber behøver ikke, at du bruger funktionen. Deaktivér og afinstallér tilføjelsen, hvis du ikke har brug for den.
Kan jeg se, om nogen allerede har udnyttet sårbarheden mod min hjemmeside?
Det kræver, at din hostingudbyder eller en tekniker gennemgår dine serverlogfiler. Man vil typisk se mistænkelige forespørgsler til adressen /all-recipes med usædvanlige tegn som enkelt-apostrof (‘), bindestreger eller SQL-nøgleord i URL’en. Kontakt din hostingudbyder og bed om hjælp til dette.
Hvad sker der, hvis jeg ikke gør noget?
Risikoen er, at din database — herunder eventuelle kundeoplysninger, brugernes logindata og administratorens adgangskode — kan blive udtrukket af en angriber. Det kan føre til misbrug af konti, datalæk og potentielt en GDPR-anmeldelse til Datatilsynet. Jo længere du venter, jo større er risikoen, særligt fordi angrebet er teknisk let at udføre.
Er der en officiel opdatering til JoomRecipe, jeg kan installere?
På tidspunktet for offentliggørelsen af denne sårbarhed er der ikke bekræftet en officiel patch fra udvikleren. Tjek Joomla Extension Directory og udviklerens hjemmeside for opdateringer. Hvis ingen opdatering er tilgængelig, er den sikreste løsning at afinstallere tilføjelsen.
Hvad er GDPR-konsekvenserne, hvis der er sket et databrud?
Hvis du har rimelig grund til at tro, at personoplysninger (f.eks. kunders navne, e-mails eller adgangskoder) er blevet tilgået af uvedkommende, har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter, du er blevet opmærksom på bruddet. Kontakt evt. en juridisk rådgiver for at afklare din konkrete forpligtelse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Component JoomRecipe 1.0.3 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the category parameter. Attackers can send GET requests to the all-recipes endpoint with malicious SQL payloads in the category path segment to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.