CVE-2017-20252: SQL-fejl i Joomla NextGen Editor
Kritisk SQL-fejl i Joomla-plugin lader hackere læse hele din database uden at logge ind.
Hvad er det?
CVE-2017-20252 er en SQL-injektionssårbarhed (en fejl hvor angribere kan sende skadelige databasekommandoer) i Joomla-pluginet NextGen Editor version 2.1.0. Fejlen findes i en bestemt URL-parameter kaldet plname, som pluginet ikke tjekker ordentligt. Det betyder, at en angriber blot kan sende en særligt udformet webanmodning til din hjemmeside og dermed få adgang til at læse data direkte fra din database — helt uden at have et login eller særlige rettigheder.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med NextGen Editor version 2.1.0 installeret og aktiveret. Det kan fx være:
- Virksomheder med en Joomla-baseret hjemmeside eller webshop
- Foreninger og organisationer der bruger Joomla som indholdssystem
- Webbureau-kunder hvis bureau har installeret dette plugin
Du behøver ikke have en stor eller kendt hjemmeside for at blive ramt — automatiserede scanningsværktøjer finder sårbare sites i stor skala.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække følsomme oplysninger ud af din database uden at efterlade sig tydelige spor. Det kan konkret betyde:
- Læk af brugernavne, e-mailadresser og krypterede adgangskoder for alle brugere på sitet
- Eksponering af kundedata, ordrehistorik eller andre fortrolige oplysninger gemt i databasen
- Potentielt grundlag for videre angreb, fx phishing eller kontoovertagelse
- Brud på GDPR-reglerne (persondataforordningen), som kan udløse bøder og krav om anmeldelse til Datatilsynet
Angriberen kan ikke direkte slette eller ændre data via denne sårbarhed, men adgangen til at læse data er i sig selv meget alvorlig.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 8.2 ud af 10 (Alvorlig). Det skyldes en kombination af særligt bekymrende faktorer:
- Ingen login krævet: Alle på internettet kan forsøge angrebet
- Lav kompleksitet: Angrebet er teknisk enkelt at udføre
- Høj fortrolighedsrisiko: Potentielt adgang til hele databasens indhold
- Netværksbaseret: Angrebet sker over internettet — angriberen behøver ikke fysisk adgang
Kombinationen af ingen adgangskrav og lav teknisk sværhedsgrad gør denne sårbarhed til et oplagt mål for automatiserede angrebsværktøjer.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt for at beskytte din hjemmeside:
- Tjek om du bruger NextGen Editor: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Søg efter ‘NextGen Editor’ og noter versionen.
- Deaktiver pluginet øjeblikkeligt hvis du kører version 2.1.0, indtil en opdatering er tilgængelig. Det er bedre at miste funktionaliteten midlertidigt end at risikere datalæk.
- Opdater til nyeste version af NextGen Editor, hvis producenten har udgivet en patch, og genaktiver herefter pluginet.
- Gennemgå dine adgangslogge for at se, om der allerede har været mistænkelige forespørgsler til
index.php?option=com_nge&view=config. - Skift adgangskoder for alle Joomla-administratorer og overvej at informere brugere om at skifte deres adgangskoder, hvis du har grund til at tro data er kompromitteret.
- Kontakt din webudvikler eller webbureau hvis du er i tvivl om noget af ovenstående — de kan hjælpe dig hurtigt.
Handl inden for 24-48 timer
Vores klare anbefaling er at deaktivere NextGen Editor 2.1.0 med det samme, indtil en sikkerhedsopdatering er tilgængelig fra udvikleren. SQL-injektionsfejl som denne er velkendte og nemme at udnytte for selv uerfarne angribere. Overvej samtidig at få gennemgået alle øvrige tredjeparts-plugins på dit Joomla-site — mange SMV’er har installerede plugins der ikke er opdateret i lang tid. Hos Auroa hjælper vi gerne med en hurtig gennemgang af din hjemmesides sikkerhedsstatus.
Tidslinje
Konkrete eksempler
Automatiseret scanning og datahøst
En angriber bruger et automatiseret scanningsværktøj til at finde alle Joomla-sites på internettet med NextGen Editor installeret. For hvert sårbart site sender værktøjet en SQL-injektionsforespørgsel til index.php?option=com_nge&view=config&plname=[skadelig kode] og udtrækker automatisk listen over alle brugere, e-mailadresser og krypterede adgangskoder fra databasen — alt sammen på få sekunder pr. site.
Adgangskoder knækkes og misbruges
Efter at have hentet databasen fra et sårbart site forsøger angriberen at knække de krypterede adgangskoder med specialiserede programmer. Mange brugere genbruger adgangskoder på tværs af tjenester, så kompromitterede loginoplysninger fra din Joomla-side kan åbne døre til brugernes e-mail, netbank eller andre systemer — et fænomen kaldet ‘credential stuffing’.
GDPR-brud og kundekommunikation
En webshop på Joomla med NextGen Editor oplever et datalæk, hvor kundedata inkl. navne, adresser og e-mails bliver stjålet. Virksomheden skal nu anmelde bruddet til Datatilsynet inden 72 timer, informere alle berørte kunder og risikerer bøde samt alvorlig skade på omdømmet — alt sammen som følge af et uopdateret plugin.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber sender skadelige databasekommandoer til din hjemmeside via et normalt inputfelt eller en URL-parameter. Hvis hjemmesiden ikke filtrerer inputtet korrekt, udfører databasen kommandoen som om den var legitim. Det kan give angriberen adgang til at læse, ændre eller i nogle tilfælde slette data i din database.
Kan jeg se om jeg allerede er blevet angrebet?
Du kan tjekke din webservers adgangslogge for mistænkelige forespørgsler. Kig efter URL’er der indeholder
option=com_nge&view=configkombineret med usædvanlige tegn i parametrene, fx enkeltcitater, SQL-nøgleord som SELECT eller UNION. Kontakt din hostingudbyder eller webudvikler for hjælp til at gennemgå loggene.Hvad sker der hvis jeg bare lader pluginet sidde og venter?
Det fraråder vi kraftigt. Automatiserede scanningsværktøjer scanner konstant internettet for kendte sårbarheder, og din hjemmeside kan blive ramt uden at nogen specifikt har målrettet dig. Jo længere pluginet er aktivt, jo større er risikoen for et datalæk og de efterfølgende konsekvenser — herunder mulige GDPR-bøder og tab af kundetillid.
Er min hjemmeside sårbar hvis NextGen Editor er installeret men deaktiveret?
Et deaktiveret Joomla-plugin kan i mange tilfælde stadig reagere på webanmodninger, afhængigt af Joomlas konfiguration. Den sikreste løsning er at afinstallere pluginet helt, indtil en sikret version er tilgængelig — ikke blot deaktivere det.
Skal jeg anmelde et eventuelt brud til Datatilsynet?
Hvis du har grund til at tro, at personoplysninger er blevet tilgået af uvedkommende, har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter du bliver bekendt med bruddet — det følger af GDPR. Kontakt en juridisk rådgiver eller Datatilsynet direkte hvis du er usikker på, om du er i denne situation.
Hvad kan jeg gøre for at undgå lignende problemer fremover?
Hold alle plugins, temaer og selve Joomla-kernen opdateret løbende. Begræns antallet af installerede plugins til dem du faktisk bruger, og overvej en Web Application Firewall (WAF) — et ekstra sikkerhedslag foran din hjemmeside der kan blokere kendte angrebsmønstre. Et årligt sikkerhedstjek af din hjemmeside er også en god investering.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla NextGen Editor 2.1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL commands through the plname parameter. Attackers can send GET requests to index.php with option=com_nge&view=config and inject malicious SQL code in the plname parameter to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
