CVE-2017-20257
Alvorlig

CVE-2017-20257: SQL-fejl i Joomla Quiz Deluxe 3.7.4

SQL-fejl i Joomla-tilføjelse Quiz Deluxe 3.7.4 giver hackere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
workaround
Exploit
poc_public
Tidsfrist
Handl inden for 48 timer

Hvad er det?

CVE-2017-20257 er en SQL-injektionssårbarhed (en fejl hvor angribere kan snyde et programs databaseforespørgsler) i Joomla-tilføjelsen Quiz Deluxe version 3.7.4. Fejlen sidder i en bestemt funktion kaldet ajaxaction.flag_question, og den kan udnyttes via to parametre: stu_quiz_id og flag_quest. En angriber behøver hverken brugernavn eller adgangskode for at udnytte den. Ved at sende særligt udformede forespørgsler til dit website kan angriberen manipulere de databasekommandoer, som tilføjelsen kører, og dermed læse eller ændre data i din database.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der driver et Joomla-baseret website med tilføjelsen Quiz Deluxe version 3.7.4 installeret og aktiveret. Det kan for eksempel være foreninger, uddannelsesinstitutioner, detailvirksomheder eller andre SMV’er, der bruger quiz-funktionalitet på deres hjemmeside. Hvis du er usikker på, om du bruger denne tilføjelse, kan din webmaster eller IT-leverandør tjekke det for dig.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan:

  • Læse fortrolige data fra din database — herunder kundeoplysninger, e-mailadresser, brugernavne og krypterede adgangskoder.
  • Ændre indhold i databasen, for eksempel manipulere quiz-resultater eller andre registreringer.
  • Bruge de stjålne oplysninger som afsæt for yderligere angreb, f.eks. phishing (falske e-mails) mod dine kunder eller medarbejdere.

Angrebet efterlader ikke nødvendigvis synlige spor på dit website, og du kan derfor have svært ved at opdage, at noget er galt.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 8.2 ud af 10, hvilket klassificeres som alvorlig. Tre faktorer gør den særligt bekymrende:

  • Ingen login kræves — enhver på internettet kan forsøge angrebet.
  • Lav teknisk kompleksitet — angrebet er ikke svært at udføre for en erfaren angriber.
  • Høj fortrolighedsrisiko — der er stor risiko for, at følsomme data kan læses.

Påvirkning på tilgængelighed (nedetid) er derimod ikke en direkte konsekvens af denne sårbarhed.

Hvad gør jeg nu?

Tag følgende skridt hurtigst muligt, helst inden for de næste 48 timer:

  1. Kontakt din webmaster eller IT-leverandør og informér dem om denne sårbarhed. Del CVE-nummeret (CVE-2017-20257) med dem.
  2. Tjek om Quiz Deluxe 3.7.4 er installeret på dit Joomla-website. Log ind i Joomla-administrationen og se under Udvidelser → Administrer udvidelser.
  3. Opdatér tilføjelsen til en nyere, sikker version, hvis en sådan er tilgængelig fra udvikleren af Quiz Deluxe.
  4. Deaktivér eller afinstallér tilføjelsen midlertidigt, hvis der ikke er en opdatering tilgængelig, indtil problemet er løst.
  5. Gennemgå dine adgangslogfiler (med hjælp fra IT) for at se, om der allerede har været mistænkelig aktivitet mod dit website.
  6. Overvej at orientere berørte brugere, hvis du har grund til at tro, at personoplysninger kan være tilgået — dette kan være krævet under GDPR.
Tidsfrist

Handl inden for 48 timer

Sådan ser Auroa det

Auroa anbefaler, at du omgående beder din webmaster deaktivere Quiz Deluxe-tilføjelsen, indtil en sikkerhedsopdatering fra leverandøren er bekræftet og installeret. Da angrebet kan udføres af alle på internettet uden login, er risikoen for udnyttelse høj, og du bør ikke afvente en planlagt vedligeholdelsesrunde. Kontakt os gerne, hvis du har brug for hjælp til at vurdere omfanget eller til at sikre dit Joomla-website fremadrettet.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Den amerikanske nationale sårbarhedsdatabase (NVD) offentliggjorde CVE-2017-20257 med en CVSS-score på 8.2 og klassificeringen 'alvorlig'.
19/06/2026
Sårbarhed dokumenteret i Quiz Deluxe 3.7.4
SQL-injektionsfejlen i Joomla-tilføjelsen Quiz Deluxe version 3.7.4 blev offentligt dokumenteret, herunder de præcise angrebspunkter via parametrene stu_quiz_id og flag_quest.
19/06/2026
Proof-of-concept muligt
Fordi angrebsvektoren og de specifikke parametre er offentligt beskrevet, kan erfarne angribere konstruere angreb med udgangspunkt i den offentliggjorte information.
19/06/2026
Patch-status uafklaret
På offentliggørelsestidspunktet er der ikke bekræftet en officiel sikkerhedsopdatering fra udvikleren af Quiz Deluxe. Webmastere anbefales at deaktivere tilføjelsen som midlertidig løsning.

Konkrete eksempler

Datatyveri via quiz-side

En angriber finder dit Joomla-website og opdager, at du bruger Quiz Deluxe 3.7.4. Angriberen sender en automatisk udformet URL til din quiz-sides bagvedliggende funktion med ondsindet SQL-kode gemt i parameteren stu_quiz_id. Databasen svarer med en liste over dine registrerede brugeres e-mailadresser og krypterede adgangskoder, som angriberen eksporterer og sælger eller bruger til videre angreb.

Manipulation af quiz-resultater

En konkurrent eller en utilfreds person udnytter sårbarheden til at ændre scores og resultater i din database via parameteren flag_quest. Hvis din virksomhed bruger quiz-resultater til f.eks. kursusbeviser eller konkurrencer, kan dette undergrave tilliden til dine data og skabe juridiske og omdømmemæssige problemer.

Springbræt til yderligere angreb

Via SQL-injektionen tilgår en angriber databasen og finder administrator-loginoplysninger gemt i Joomla-systemet. Med disse oplysninger logger angriberen ind som administrator og installerer skadeligt indhold på dit website, som inficerer dine besøgendes computere — uden at du opdager det med det samme.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component Quiz Deluxe 3.7.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL commands through the ajaxaction.flag_question task. Attackers can inject malicious SQL code via the stu_quiz_id or flag_quest parameters to manipulate database queries and extract sensitive information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20257
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
workaround
Tidsfrist
Handl inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.