Hvad er SQL-injektion, og hvorfor er det farligt?

SQL-injektion er en teknik hvor en angriber indsætter ondsindet database-kode i et felt eller en webadresse. Hvis hjemmesiden ikke filtrerer input korrekt, udfører databasen den ondsindede kode som om den var legitim. Det er farligt fordi det kan give adgang til alle data i databasen — fx kundeinformation, login-oplysninger og interne dokumenter.

Skal jeg anmelde et eventuelt databrud til Datatilsynet?

Ja, hvis du konstaterer at personoplysninger er blevet tilgået eller stjålet, har du som udgangspunkt 72 timer til at anmelde bruddet til Datatilsynet efter GDPR-reglerne. Kontakt din databeskyttelsesrådgiver (DPO) eller en juridisk rådgiver hurtigst muligt, hvis du mistænker et brud.

Kan et sikkerhedsplugin til Joomla beskytte mig i mellemtiden?

En Web Application Firewall (WAF) eller et Joomla-sikkerhedsplugin som RSFirewall eller Akeeba Admin Tools kan i mange tilfælde blokere SQL-injektionsforsøg, selv inden en officiel patch udkommer. Det er dog ikke en garanti og bør ses som en midlertidig foranstaltning — ikke en permanent løsning.

Hvordan ved jeg om nogen allerede har udnyttet sårbarheden mod min side?

Tjek din webservers adgangslogfiler (access logs) for anmodninger til index.php der indeholder task=project&view=grid kombineret med usædvanlige tegn i pid-parameteren, fx enkelt-apostroffer (‘), SQL-nøgleord som SELECT, UNION eller DROP. Din webhost eller IT-leverandør kan hjælpe med at analysere logfilerne.

Er andre versioner af Myportfolio end 3.0.2 også sårbare?

Den offentliggjorte sårbarhed er dokumenteret for version 3.0.2. Det er ukendt om andre versioner er påvirkede. Som en generel sikkerhedsregel bør du altid holde alle Joomla-komponenter opdateret til nyeste version og løbende tjekke udbyderens hjemmeside for sikkerhedsopdateringer.

Hvad koster det at få rettet problemet?

Hvis der er en tilgængelig opdatering, kan en rutineret webmaster typisk installere den på under en time. Midlertidig deaktivering af komponenten er gratis og tager få minutter. En fuld sikkerhedsgennemgang af din Joomla-installation kan variere i pris afhængigt af sidestørrelse og kompleksitet — kontakt Auroa for et uforpligtende tilbud.

CVE-2017-20280

Alvorlig

CVE-2017-20280: SQL-fejl i Joomla Myportfolio 3.0.2

SQL-fejl i Joomla-komponenten Myportfolio 3.0.2 giver hackere adgang til din database uden login.

CVSS Score

8.2

Offentliggjort

19/06/2026

Patch-status

none

Exploit

poc_public

Tidsfrist

Handl inden for 24-48 timer

Hvad er det?

CVE-2017-20280 er en SQL-injektionssårbarhed (en fejl hvor en angriber kan snyde et programs databaseforespørgsler ved at sende ondsindet tekst) i Joomla-tilføjelsen Myportfolio version 3.0.2. Fejlen sidder i måden komponenten håndterer en bestemt webparameter kaldet pid. En angriber kan sende en særligt udformet webanmodning til din hjemmeside og dermed tvinge databasen til at udlevere oplysninger, den ikke burde. Det kræver hverken brugernavn, adgangskode eller særlige rettigheder — en internetforbindelse er nok.

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en Joomla-baseret hjemmeside med komponenten Myportfolio version 3.0.2 installeret og aktiveret. Det er typisk virksomheder der bruger Joomla som indholdssystem (CMS) og har tilføjet Myportfolio for at vise et projektgalleri eller portefølje. Hvis du ikke er sikker på, om du bruger denne komponent, kan din webmaster eller IT-leverandør tjekke det hurtigt.

Hvad kan ske?

En angriber der udnytter fejlen kan:

Trække fortrolige data ud af din database — herunder kundeoplysninger, brugernavne og krypterede adgangskoder.
Kortlægge hele din databasestruktur og forberede mere avancerede angreb.
I kombination med andre svagheder potentielt overtage administratorkontoen på din hjemmeside.

Konsekvenserne kan inkludere databrud der skal anmeldes til Datatilsynet, tab af kundernes tillid og bøder under GDPR.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) af det internationale CVSS-scoringssystem. Den scorer højt fordi:

Angrebet kan udføres over internettet uden forudgående adgang.
Det kræver ingen teknisk viden om din opsætning.
Det kræver hverken login eller særlige rettigheder.
Konsekvensen for fortrolighed af data er høj.

Angrebskompleksiteten er lav, hvilket betyder at selv mindre erfarne angribere kan forsøge det med automatiserede værktøjer.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside hurtigst muligt:

Tjek om du bruger Myportfolio 3.0.2 — kontakt din webmaster eller log ind i Joomla-backend og se under Udvidelser.
Deaktiver komponenten midlertidigt, hvis du bekræfter at den er installeret, og der endnu ikke er en patch tilgængelig.
Søg efter en opdateret version af Myportfolio hos udbyderen eller Joomla Extensions Directory og opdater med det samme, hvis en patch eksisterer.
Gennemgå dine databaselogfiler for mistænkelige forespørgsler, der indeholder tegn som enkelt-apostroffer eller SQL-nøgleord i pid-parameteren.
Skift adgangskoder til din Joomla-administrator og database som en sikkerhedsforanstaltning.
Kontakt din IT-leverandør eller Auroa, hvis du er usikker på næste skridt.

Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler at du straks deaktiverer Myportfolio-komponenten, hvis den er installeret på din Joomla-side, indtil en officiel patch er tilgængelig. SQL-injektionsangreb er velkendte og nemt automatiserbare, så tidsvinduet fra offentliggørelse til aktivt misbrug er typisk meget kort. Overvej desuden at implementere en Web Application Firewall (WAF), der kan blokere kendte SQL-injektionsmønstre som et ekstra lag forsvar mens du afventer en permanent løsning.

Tidslinje

19/06/2026

CVE offentliggjort i NVD

Sårbarheden CVE-2017-20280 blev offentligt registreret i National Vulnerability Database. Fra dette tidspunkt er detaljer om angrebet tilgængelige for alle — inklusive potentielle angribere.

19/06/2026

Tekniske detaljer tilgængelige

Den præcise angrebs-URL og parameter (pid i task=project&view=grid) er beskrevet offentligt, hvilket gør det muligt at automatisere angreb med eksisterende SQL-injektionsværktøjer som sqlmap.

20/06/2026

Forventet start på automatiserede skanninger

Baseret på erfaringer med lignende SQL-injektionssårbarheder begynder automatiserede scannere typisk at lede efter sårbare installationer inden for 24-48 timer efter offentliggørelse.

22/06/2026

Patch-status uafklaret

Der er på offentliggørelsestidspunktet ikke bekræftet en officiel patch fra udvikleren af Myportfolio. Følg udbyderens hjemmeside og Joomla Extensions Directory for opdateringer.

Konkrete eksempler

Automatiseret udtræk af kundedatabase

En angriber bruger det gratis værktøj sqlmap til automatisk at sende hundredvis af testforespørgsler til din Joomla-side via pid-parameteren. Inden for få minutter har værktøjet kortlagt din database og begynder at downloade tabeller med kundenavne, e-mailadresser og krypterede adgangskoder. Disse oplysninger kan efterfølgende sælges på kriminelle onlinefora eller bruges til phishing-angreb mod dine kunder.

Kompromittering af administratorkonto

Via SQL-injektionen udtrækker angriberen den krypterede adgangskode for din Joomla-administrator. Med et moderne password-knækningsværktøj og tilstrækkelig regnekraft kan en svag adgangskode brydes. Angriberen logger derefter ind som administrator og kan installere ondsindet kode, slette indhold eller bruge din hjemmeside til at sprede malware til besøgende.

Konkurrencemæssig spionage

En konkurrent eller ondsindet tredjepart udnytter sårbarheden til at tilgå projektdata og tilbudsoplysninger gemt i din Joomla-database. Informationerne bruges til at underbyde dine priser eller afsløre fortrolige kundeforhold. Denne type angreb opdages sjældent hurtigt, da angriberen ikke ændrer noget — de læser kun data.

Ofte stillede spørgsmål

Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik hvor en angriber indsætter ondsindet database-kode i et felt eller en webadresse. Hvis hjemmesiden ikke filtrerer input korrekt, udfører databasen den ondsindede kode som om den var legitim. Det er farligt fordi det kan give adgang til alle data i databasen — fx kundeinformation, login-oplysninger og interne dokumenter.
Skal jeg anmelde et eventuelt databrud til Datatilsynet?
Ja, hvis du konstaterer at personoplysninger er blevet tilgået eller stjålet, har du som udgangspunkt 72 timer til at anmelde bruddet til Datatilsynet efter GDPR-reglerne. Kontakt din databeskyttelsesrådgiver (DPO) eller en juridisk rådgiver hurtigst muligt, hvis du mistænker et brud.
Kan et sikkerhedsplugin til Joomla beskytte mig i mellemtiden?
En Web Application Firewall (WAF) eller et Joomla-sikkerhedsplugin som RSFirewall eller Akeeba Admin Tools kan i mange tilfælde blokere SQL-injektionsforsøg, selv inden en officiel patch udkommer. Det er dog ikke en garanti og bør ses som en midlertidig foranstaltning — ikke en permanent løsning.
Hvordan ved jeg om nogen allerede har udnyttet sårbarheden mod min side?
Tjek din webservers adgangslogfiler (access logs) for anmodninger til index.php der indeholder task=project&view=grid kombineret med usædvanlige tegn i pid-parameteren, fx enkelt-apostroffer (‘), SQL-nøgleord som SELECT, UNION eller DROP. Din webhost eller IT-leverandør kan hjælpe med at analysere logfilerne.
Er andre versioner af Myportfolio end 3.0.2 også sårbare?
Den offentliggjorte sårbarhed er dokumenteret for version 3.0.2. Det er ukendt om andre versioner er påvirkede. Som en generel sikkerhedsregel bør du altid holde alle Joomla-komponenter opdateret til nyeste version og løbende tjekke udbyderens hjemmeside for sikkerhedsopdateringer.
Hvad koster det at få rettet problemet?
Hvis der er en tilgængelig opdatering, kan en rutineret webmaster typisk installere den på under en time. Midlertidig deaktivering af komponenten er gratis og tager få minutter. En fuld sikkerhedsgennemgang af din Joomla-installation kan variere i pris afhængigt af sidestørrelse og kompleksitet — kontakt Auroa for et uforpligtende tilbud.

Ramte produkter

CVSS-detaljer

Attack Vector

NETWORK

Attack Complexity

LOW

Privileges Required

NONE

User Interaction

NONE

Scope

UNCHANGED

Confidentiality

HIGH

Integrity

LOW

Availability

NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla Component Myportfolio 3.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the pid parameter. Attackers can send GET requests to index.php with malicious pid values in the task=project&view=grid endpoint to extract sensitive database information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.

Book en samtale Se vores ydelser