CVE-2017-20253
Alvorlig

CVE-2017-20253: SQL-injektion i Joomla My Projects 2.0

Kritisk SQL-injektionsfejl i Joomla-komponent My Projects 2.0 giver angribere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2017-20253 er en SQL-injektionssårbarhed (en type angreb hvor ondsindet kode smugles ind i databaseforespørgsler) i Joomla-komponenten My Projects 2.0. Fejlen findes i parameteren VerAyari, og en angriber kan sende særligt udformede forespørgsler direkte til komponenten uden at være logget ind. Resultatet er, at angriberen kan læse, udtrække og potentielt manipulere data i din database — herunder brugernavne, adgangskoder og andre følsomme oplysninger.

Hvem rammer det?

Sårbarheden rammer alle, der driver et Joomla-website med komponenten My Projects 2.0 installeret. Det kan være:

  • Virksomheder med Joomla-baserede hjemmesider eller webshops
  • Foreninger og organisationer med Joomla-portaler
  • Webhoteller og bureauer der hoster Joomla-løsninger for kunder

Har du ikke My Projects 2.0 installeret på dit Joomla-site, er du ikke direkte berørt af denne specifikke sårbarhed.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan følgende ske:

  • Datalæk: Angriberen kan trække alle data ud af din database — herunder kundeoplysninger, login-data og interne dokumenter.
  • Kompromitterede adgangskoder: Gemte brugernavne og hashede (krypterede) adgangskoder kan stjæles og forsøges knækket.
  • Overtagelse af hjemmeside: Med adgang til administratoroplysninger kan angriberen overtage dit site og indsætte skadeligt indhold.
  • GDPR-brud: Hvis persondata lækkes, kan det udløse en indberetningspligt til Datatilsynet inden 72 timer.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 8.2 ud af 10 — Alvorlig. Det er særligt bekymrende af disse grunde:

  • Ingen login krævet: Angriberen behøver ikke en brugerkonto på dit site.
  • Lav kompleksitet: Angrebet er teknisk simpelt at udføre og kan automatiseres.
  • Netværksbaseret: Angrebet kan udføres fra hele internettet — angriberen behøver ikke fysisk adgang.
  • Høj fortrolighedsrisiko: Dine data kan læses fuldt ud af en uvedkommende.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte dit Joomla-site:

  1. Tjek om du er berørt: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Søg efter ‘My Projects’ — er version 2.0 installeret, er du berørt.
  2. Deaktivér komponenten straks: Hvis du ikke aktivt bruger My Projects 2.0, deaktivér eller afinstallér komponenten med det samme under Udvidelser → Administrer.
  3. Søg efter opdatering: Undersøg om komponentens udviklere har udgivet en opdateret version og opdatér i givet fald.
  4. Skift adgangskoder: Ændr adgangskoder for alle Joomla-administratorer og databasebrugere som en sikkerhedsforanstaltning.
  5. Gennemgå logs: Bed din hostingudbyder eller IT-ansvarlige om at tjekke serverloggene for usædvanlig aktivitet mod din Joomla-installation.
  6. Overvej en WAF: En Web Application Firewall (et sikkerhedslag foran dit website) kan blokere SQL-injektionsforsøg automatisk.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer eller fjerner Joomla-komponenten My Projects 2.0, hvis den er installeret på dit site. Da der på nuværende tidspunkt ikke kendes en officiel patch, er fjernelse den sikreste løsning. Kontakt din webbureau eller IT-leverandør i dag, og bed dem gennemgå, om angrebet allerede har fundet sted — det er bedre at finde ud af det nu end efter et databrud.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
CVE-2017-20253 blev offentliggjort i National Vulnerability Database med en CVSS-score på 8.2 (Alvorlig). Sårbarheden beskrives som en SQL-injektionsfejl i Joomla-komponenten My Projects 2.0.
19/06/2026
Sårbarhed dokumenteret og tilgængelig
Med offentliggørelsen er tekniske detaljer om angrebet — herunder det sårbare parameter VerAyari — tilgængeligt, hvilket gør det muligt for angribere at konstruere fungerende angrebskode.
19/06/2026
Ingen officiel patch tilgængelig
På offentliggørelsestidspunktet er der ikke udgivet en opdateret version af My Projects 2.0, der retter sårbarheden. Afinstallation anbefales som eneste sikre løsning.

Konkrete eksempler

Udtræk af alle brugernavne og adgangskoder

En angriber finder et Joomla-site med My Projects 2.0 via en søgemaskine som Google eller Shodan. De sender en automatiseret forespørgsel til komponentens URL med en SQL-injektionskode i parameteren VerAyari, der beder databasen om at returnere alle brugere og deres hashede adgangskoder. Disse data kan efterfølgende forsøges knækket med specialværktøjer og bruges til at overtage Joomla-administratorkontoen.

Masseautomatiseret scanning mod Joomla-sites

Cyberkriminelle bruger automatiserede scanningsværktøjer til at søge internettet igennem for Joomla-installationer med My Projects 2.0. Når en sårbar installation identificeres, udføres SQL-injektionsangrebet automatisk og uden menneskelig indgriben. På denne måde kan hundredvis af sites angribes på få timer — også selvom din virksomhed er lille og ‘ikke interessant’.

Kundedata sælges på det mørke net

En angriber udnytter sårbarheden til at trække din kundeliste ud af databasen, herunder navne, e-mailadresser og eventuelle betalingsoplysninger. Disse data sættes til salg på undergrundsmarkeder. Dine kunder kan efterfølgende blive udsat for phishing-angreb (falske e-mails der forsøger at narre dem) — og du som virksomhedsejer har et GDPR-ansvar for bruddet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component My Projects 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the VerAyari parameter. Attackers can craft requests to the component endpoint with SQL injection payloads to extract sensitive database information including credentials and system data.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20253
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.