CVE-2017-20254
Alvorlig

CVE-2017-20254: SQL-injektion i Joomla User Bench 1.0

Kritisk SQL-injektionsfejl i Joomla-komponenten User Bench 1.0 giver angribere adgang til hele din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Afinstaller komponenten inden for 24 timer

Hvad er det?

CVE-2017-20254 er en SQL-injektionssårbarhed (en fejl hvor ondsindet kode kan sættes ind i databaseforespørgsler) i tilføjelseskomponenten User Bench 1.0 til hjemmesidesystemet Joomla!. Fejlen sidder i en URL-parameter kaldet userid. En angriber kan sende en særligt udformet webadresse til din hjemmeside og narre systemet til at udføre vilkårlige kommandoer direkte i din database. Det kræver ingen brugernavn, adgangskode eller særlige rettigheder — alle på internettet kan forsøge angrebet. Resultatet er, at angriberen kan trække følsomme oplysninger ud af databasen, herunder brugernavne, adgangskoder og konfigurationsdata.

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en hjemmeside bygget på Joomla! og har installeret komponenten User Bench version 1.0. Det er typisk relevant for:

  • Virksomheder med Joomla-baserede hjemmesider eller kundeportaler
  • Foreninger og organisationer der bruger Joomla til medlemshåndtering
  • Webshops eller platforme der har udvidet Joomla med tredjepartskomponenter

Er du usikker på, om du bruger denne komponent, kan din webmaster eller it-leverandør hurtigt tjekke det for dig.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan de:

  • Stjæle loginoplysninger — brugernavne og krypterede (eller ukrypterede) adgangskoder fra alle brugere på hjemmesiden
  • Hente fortrolige data — kundeoplysninger, konfigurationsindstillinger og andre data gemt i databasen
  • Bruge stjålne adgangskoder andre steder — mange brugere genbruger passwords, så et databrud her kan åbne døre til e-mail, netbank og andre systemer
  • Forberede yderligere angreb — med databaseadgang kan angriberen kortlægge systemet og eskalere angrebet

Angrebet efterlader ikke nødvendigvis synlige spor, og du opdager det måske ikke uden aktiv overvågning.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Det skyldes primært:

  • Ingen login kræves — alle på internettet kan angribe uden forudgående adgang
  • Lav angrebskompleksitet — det kræver ingen specialviden at udnytte fejlen; værktøjer til SQL-injektion er frit tilgængelige
  • Høj fortrolighed på spil — angriberen kan læse hele databasens indhold

Angrebsvektoren er netværk, hvilket betyder angrebet kan gennemføres fra hvor som helst i verden. Der er dog ingen direkte risiko for at angriberen kan slette data eller tage kontrol over serveren via denne specifikke fejl alene.

Hvad gør jeg nu?

Hvis du bruger Joomla! med komponenten User Bench 1.0, bør du handle hurtigt. Her er hvad du gør:

  1. Find ud af om du er ramt — bed din webmaster eller it-leverandør om at tjekke, om User Bench 1.0 er installeret på din Joomla-side.
  2. Deaktiver eller afinstaller komponenten — hvis du ikke aktivt bruger User Bench, skal den fjernes øjeblikkeligt. En deaktivering er ikke nok; komponenten skal afinstalleres helt.
  3. Tjek om der er en opdatering — undersøg om udvikleren bag User Bench har udgivet en ny version der retter fejlen. Installer i så fald opdateringen.
  4. Gennemgå dine logfiler — bed din webmaster om at tjekke serverlogfiler for mistænkelige forespørgsler med option=com_userbench for at se, om nogen allerede har udnyttet fejlen.
  5. Skift adgangskoder — som en sikkerhedsforanstaltning bør alle administratorer og brugere på siden skifte deres adgangskoder, særligt hvis der er tegn på angreb.
  6. Overvej en Web Application Firewall (WAF) — et ekstra beskyttelseslag der kan blokere SQL-injektionsforsøg, selv mod ukendte sårbarheder fremover.
Tidsfrist

Afinstaller komponenten inden for 24 timer

Sådan ser Auroa det

Vores klare anbefaling er at afinstallere User Bench 1.0 øjeblikkeligt, medmindre du har et kritisk behov for komponenten. Kontakt din webmaster eller Auroa i dag for at få verificeret om du er påvirket, og for at få gennemgået dine logfiler for tegn på tidligere angreb. SQL-injektionssårbarheder som denne er velkendte og nemme at udnytte med frit tilgængelige hackingværktøjer — det er ikke et spørgsmål om om nogen vil forsøge, men hvornår.

Tidslinje

01/01/2017
Sårbar komponent udgives
User Bench 1.0 udgives som en gratis Joomla-komponent. SQL-injektionsfejlen i userid-parameteret er til stede fra starten, men opdages ikke umiddelbart.
19/06/2026
CVE offentliggjort i NVD
Sårbarheden registreres officielt i National Vulnerability Database (NVD) under identifikatoren CVE-2017-20254 med en CVSS-score på 8,2 (Alvorlig). Tekniske detaljer om angrebet bliver dermed offentligt tilgængelige.
19/06/2026
Udnyttelsesmetode offentligt tilgængelig
I forbindelse med offentliggørelsen er den konkrete angrebs-URL og parametre beskrevet i CVE-rapporten, hvilket gør det muligt for selv uøvede angribere at forsøge udnyttelse ved hjælp af standardværktøjer.
20/06/2026
Ingen officiel patch tilgængelig
Udvikleren bag User Bench 1.0 har på tidspunktet for offentliggørelsen ikke udsendt en opdateret version der retter fejlen. Afinstallation er den eneste sikre løsning.

Konkrete eksempler

Angriberen trækker alle brugerlogins ud

En angriber sender en automatiseret forespørgsel til din Joomla-hjemmeside med en URL som /index.php?option=com_userbench&view=detail&userid=1 UNION SELECT username,password FROM jos_users--. Systemet tolker dette som en gyldig databaseforespørgsel og returnerer alle brugernes brugernavne og krypterede adgangskoder. Angriberen kan derefter forsøge at knække de krypterede adgangskoder med specialiserede programmer og bruge dem til at logge ind på din Joomla-side som administrator eller til at tilgå andre systemer, hvor brugerne genbruger samme adgangskode.

Automatiseret masseafskanning finder din side

Kriminelle grupper kører automatiserede scannere der konstant afsøger internettet for kendte sårbarheder i Joomla-komponenter. Inden for timer efter CVE-offentliggørelsen kan din hjemmeside være identificeret som sårbar, og angrebsforsøgene begynder automatisk. Du behøver ikke at være et mål — du bliver et offer fordi systemet er sårbart, ikke fordi nogen har udvalgt dig specifikt.

Kundedata sælges på dark web

En angriber udnytter fejlen til at eksportere hele din kundetabel fra databasen, inklusiv navne, e-mailadresser og eventuelle gemte betalingsoplysninger. Disse data pakkes og sælges på lukkede online markeder. Konsekvensen for din virksomhed kan være bøder under GDPR (databeskyttelsesforordningen), krav om notifikation til Datatilsynet inden 72 timer samt tab af kundernes tillid.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component User Bench 1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the userid parameter. Attackers can send GET requests to index.php with the option=com_userbench&view=detail&userid parameter containing SQL injection payloads to extract sensitive database information including credentials and configuration data.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20254
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Afinstaller komponenten inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.