CVE-2017-20279: SQL-fejl i Joomla Payage 2.05

CVE-2017-20279 er en SQL-injektionssårbarhed (en fejl hvor angribere kan snige ondsindet kode ind i databaseforespørgsler) i Joomla-udvidelsen Payage version 2.05. Fejlen sidder i en parameter kaldet aid, som bruges når systemet behandler betalinger. Ved at sende en særligt udformet web-forespørgsel kan en angriber manipulere databasen og trække fortrolige oplysninger ud — alt sammen uden at have et brugernavn eller adgangskode. Teknikken kaldes blind SQL-injektion og kan foregå både ved at stille ja/nej-spørgsmål til databasen (boolean-baseret) eller ved at måle svartider (tidsbaseret).

Sårbarheden rammer dig, hvis din virksomhed driver et Joomla-baseret website med Payage-udvidelsen i version 2.05 installeret — typisk webshops eller websites der håndterer online betalinger via Joomla. Da angrebet kan udføres af alle på internettet uden forudgående login, er alle sådanne installationer i risikogruppen, uanset størrelse eller branche.

En angriber kan udnytte fejlen til at hente oplysninger ud af din database — det kan inkludere kundedata, brugernavne, adgangskoder, e-mailadresser og betalingsrelaterede oplysninger. Ifølge CVSS-vurderingen er fortroligheden af dine data i høj risiko, mens angriberen har begrænset mulighed for at ændre data. Der er ikke umiddelbar risiko for, at dit site går ned. Et datalæk af denne type kan dog medføre bøder under GDPR (EU’s databeskyttelsesforordning), tab af kundernes tillid og potentielle erstatningskrav.

Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) i den internationale CVSS-skala. Den scorer højt fordi:

• Angrebet kan udføres over internettet fra hele verden
• Det kræver ingen teknisk forberedelse eller særlige rettigheder
• Ingen brugerinteraktion er nødvendig — angriberen handler helt alene
• Konsekvensen for dine fortrolige data er høj

Det er med andre ord en lav-barriere sårbarhed med potentielt alvorlige følger.

Følg disse trin hurtigst muligt, helst inden for de næste par dage:

1. Find ud af om du bruger Payage: Bed din webmaster eller IT-ansvarlige tjekke, om Payage 2.05 er installeret på jeres Joomla-site under Udvidelser → Administrer.
2. Opdatér eller afinstallér udvidelsen: Undersøg om der findes en nyere version af Payage hos udgiveren. Hvis ikke, bør du midlertidigt deaktivere eller afinstallere udvidelsen, til en patch er tilgængelig.
3. Tjek dine logs: Bed din webmaster gennemgå serverlogfiler for mistænkelige forespørgsler til index.php med parameteren aid — særligt fra ukendte IP-adresser.
4. Skift adgangskoder: Skift adgangskoder til din Joomla-administrator og din database som en sikkerhedsforanstaltning.
5. Underret de berørte: Hvis I vurderer, at data kan være tilgået, har I pligt til at indberette bruddet til Datatilsynet inden for 72 timer i henhold til GDPR.