CVE-2017-20264: SQL-fejl i Joomla Sponsor Wall 8.0
Kritisk SQL-fejl i Joomla-komponenten Sponsor Wall 8.0 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20264 er en SQL-injektionssårbarhed (en fejl hvor en angriber kan sende skjulte databasekommandoer) i tilføjelseskomponenten Sponsor Wall 8.0 til hjemmesidesystemet Joomla!. Fejlen sidder i en parameter kaldet wallid, som komponenten ikke tjekker korrekt, inden den sender data videre til databasen. Det betyder, at en angriber kan sende en særligt udformet webadresse til din hjemmeside og dermed få databasen til at udlevere oplysninger, den slet ikke burde dele.
Hvem rammer det?
Sårbarheden rammer dig, hvis du:
- Driver en hjemmeside baseret på Joomla!
- Har installeret tilføjelsen Sponsor Wall version 8.0
- Har komponenten aktiveret og tilgængelig på internettet
Angriberen behøver hverken brugernavn eller adgangskode for at udnytte fejlen — det er nok at kende webadressen til din side.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Læse hele din database — herunder brugernavne, adgangskoder (også krypterede), e-mailadresser og andre persondata
- Stjæle administratoroplysninger til din Joomla-installation og dermed overtage hjemmesiden
- Hente konfigurationsdata, der kan bruges til yderligere angreb mod din server
Fortroligheden af dine data er i høj risiko. Angriberen kan i begrænset omfang også ændre data i databasen.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.1 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan CVSS. Det skyldes, at:
- Angrebet kan udføres over internettet uden forudgående adgang
- Angriber behøver ingen rettigheder eller login
- Det kræver blot, at en bruger besøger eller klikker på et link (brugerinteraktion)
- Konsekvensen for dine fortrolige data er høj
For en SMV med kundedata, betalingsoplysninger eller persondata underlagt GDPR er dette en sårbarhed, der bør håndteres hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside hurtigst muligt:
- Tjek om du bruger Sponsor Wall 8.0: Log ind i dit Joomla-kontrolpanel og gå til Udvidelser → Administrer. Søg efter ‘Sponsor Wall’.
- Deaktivér komponenten midlertidigt, hvis du ikke bruger den aktivt — det fjerner angrebsfladen øjeblikkeligt.
- Søg efter en opdateret version af Sponsor Wall hos udvikleren eller Joomla Extensions Directory, og opdatér hvis tilgængeligt.
- Gennemgå dine logfiler for mistænkelig aktivitet — især GET-forespørgsler til index.php?option=com_sponsorwall&task=click&wallid=.
- Skift adgangskoder til din Joomla-administrator og database som en sikkerhedsforanstaltning.
- Kontakt din webhost eller en sikkerhedskonsulent, hvis du er usikker på om du har været udsat for et angreb.
Handl inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer Sponsor Wall-komponenten, hvis du ikke aktivt benytter den — det koster dig ingenting og lukker sikkerhedshullet øjeblikkeligt. Overvej derefter at kontakte komponenten udvikleren for at høre om en sikkerhedsopdatering er på vej. Har du persondata eller kundeoplysninger i databasen, bør du også overveje, om du har pligt til at anmelde et potentielt databrud til Datatilsynet inden for 72 timer.
Tidslinje
Konkrete eksempler
Tyveri af administratoroplysninger
En angriber sender en automatiseret forespørgsel til din Joomla-hjemmeside med en manipuleret webadresse, der indeholder SQL-kode i wallid-parameteret. Databasen returnerer alle rækker fra brugertabellen — inklusive din Joomla-administrators krypterede adgangskode. Hackeren kan derefter forsøge at knække kodeordet offline og overtage din hjemmeside.
Udtræk af kundedata og e-mailadresser
En konkurrent eller kriminel aktør bruger et simpelt script til at sende gentagne forespørgsler og systematisk udtrække alle e-mailadresser og personoplysninger gemt i din database. Disse data kan sælges, bruges til phishing-angreb eller udgøre et GDPR-brud, der koster dig en bøde.
Kortlægning af serveropsætning
En angriber bruger SQL-injektionen til at hente konfigurationsdata fra databasen — fx databasebrugernavn, serversti og interne systemparametre. Disse oplysninger bruges til at planlægge et mere avanceret angreb mod din server eller andre systemer i samme netværk.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis jeg har Sponsor Wall installeret men ikke aktiveret?
Risikoen er langt mindre, hvis komponenten er deaktiveret i Joomla. En deaktiveret komponent kan normalt ikke tilgås udefra. Alligevel anbefaler vi at afinstallere den helt, indtil en sikker version foreligger.
Kan jeg se, om nogen allerede har udnyttet sårbarheden mod min side?
Ja, delvist. Du kan gennemgå din webservers adgangslog og søge efter forespørgsler, der indeholder com_sponsorwall og usædvanlige tegn som enkeltcitationstegn (‘), bindestreger eller SQL-nøgleord som UNION eller SELECT. Din webhost kan hjælpe dig med at finde og tolke disse logfiler.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en hacker smugler egne databasekommandoer ind i et felt eller en webadresse, som hjemmesiden sender videre til databasen. Databasen kan ikke skelne de ondsindede kommandoer fra legitime forespørgsler og udfører dem blot — det kan resultere i, at hackeren kan læse, ændre eller slette data.
Har jeg pligt til at anmelde dette til Datatilsynet?
Hvis du har grund til at tro, at persondata er blevet tilgået af uvedkommende — for eksempel hvis du finder mistænkelige opslag i dine logfiler — har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR. Kontakt evt. din databehandler eller juridiske rådgiver for vejledning.
Bruger jeg Joomla — hvad med andre tilføjelser?
Tredjepartskomponenter til Joomla er en hyppig kilde til sikkerhedsfejl. Vi anbefaler at du løbende holder alle dine Joomla-udvidelser opdateret og fjerner dem, du ikke aktivt bruger. Joomlas officielle sikkerhedsside og Joomla Vulnerable Extensions List er gode steder at holde øje med kendte problemer.
Er selve Joomla-kernen sårbar?
Nej — denne sårbarhed findes udelukkende i tredjeparts-tilføjelsen Sponsor Wall version 8.0 og ikke i Joomla-kernen. Det betyder, at selv en fuldt opdateret Joomla-installation kan være sårbar, hvis den inficerede komponent er installeret.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Sponsor Wall 8.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wallid parameter. Attackers can send GET requests to index.php with the option=com_sponsorwall&task=click&wallid parameter containing SQL injection payloads to extract sensitive database information including credentials and configuration data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
