CVE-2017-20267
Alvorlig

CVE-2017-20267: SQL-fejl i Joomla Calendar Planner

Kritisk SQL-fejl i Joomla-kalender giver hackere adgang til din database uden login – opdater straks.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2017-20267 er en sikkerhedsfejl i Joomla-tilføjelsen Calendar Planner version 1.0.1. Fejlen kaldes SQL-injektion (en teknik hvor en angriber sniger ondsindet kode ind i databaseforespørgsler) og befinder sig i en parameter ved navn category_id. Når en bruger f.eks. viser begivenheder på dit website, sender browseren denne parameter til serveren. En angriber kan udnytte det til at sende manipulerede forespørgsler direkte til din database og hente følsomme oplysninger ud – helt uden at være logget ind og uden særlige tekniske ressourcer.

Hvem rammer det?

Sårbarheden rammer enhver virksomhed eller organisation, der driver et Joomla-baseret website med Calendar Planner 1.0.1 installeret. Det gælder typisk:

  • SMV’er og foreninger med Joomla-hjemmesider der bruger denne kalender-komponent til arrangementer, kurser eller bookinger
  • Webshops og serviceudbydere der gemmer kundedata, brugeroplysninger eller ordrehistorik i Joomla-databasen
  • Offentlige sider med login-systemer, hvor brugernes e-mailadresser og adgangskoder (selv krypterede) ligger i databasen

Du er ikke berørt, hvis du ikke bruger Joomla, eller hvis du ikke har Calendar Planner installeret og aktiveret.

Hvad kan ske?

En angriber, der udnytter fejlen, kan:

  • Trække følsomme data ud af din database – herunder brugernavne, e-mailadresser, hashede adgangskoder og eventuelle kundeoplysninger
  • Kortlægge din databasestruktur og forberede yderligere angreb mod dit system
  • I visse konfigurationer ændre mindre dataelementer i databasen (CVSS angiver lav integritetsrisiko)

Angrebet kræver ingen forudgående adgang eller login og kan udføres automatisk af scripts, der scanner internettet for sårbare Joomla-sider. Databrud kan føre til bøder efter GDPR, tab af kundernes tillid og driftsforstyrrelse.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig/High) af den internationale standard CVSS 3.1. Det skyldes:

  • Angrebet kan udføres over internettet uden fysisk adgang
  • Det kræver ingen login eller særlige rettigheder
  • Det kræver ingen handling fra dine brugere
  • Konsekvensen for fortrolighed er høj – store mængder data kan eksponeres

Den eneste begrænsende faktor er, at angrebet ikke direkte lukker din hjemmeside ned (ingen tilgængelighedspåvirkning). Alvorligheden er dog reel og bør tages seriøst omgående.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:

  1. Tjek om du bruger Calendar Planner: Log ind i dit Joomla-backend (administrator-panel) og gå til Udvidelser → Administrer. Søg efter ‘Calendar Planner’ og notér versionen.
  2. Deaktiver komponenten midlertidigt: Hvis du finder Calendar Planner 1.0.1, så deaktivér den straks, indtil en patch er tilgængelig. Det fjerner angriberens adgangsvej.
  3. Tjek dine logs: Bed dit webbureau eller IT-support om at gennemgå serverlogge for mistænkelige GET-forespørgsler med usædvanlige værdier i category_id-parameteren.
  4. Opdater Joomla og alle udvidelser: Sørg for at Joomla-kernen og alle andre tilføjelser kører i seneste version.
  5. Skift adgangskoder: Skift adgangskoder for alle Joomla-administratorer og overvej at informere brugere om at skifte deres adgangskoder, hvis du mistænker at data kan være kompromitteret.
  6. Kontakt leverandøren: Tjek om udvikleren af Calendar Planner har udgivet en opdateret version eller sikkerhedspatch, og installér den så snart den er tilgængelig.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer Calendar Planner-komponenten på dit Joomla-site, hvis du kører version 1.0.1. SQL-injektionsfejl af denne type er velkendte og relativt nemme at udnytte automatisk, og din database kan indeholde personoplysninger der er underlagt GDPR. Kontakt din webansvarlige eller et sikkerhedsfirma, hvis du er usikker på om du er berørt, eller hvis du har mistanke om at angrebet allerede har fundet sted.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2017-20267 i Joomla Calendar Planner 1.0.1 blev officielt registreret og offentliggjort i National Vulnerability Database med en CVSS-score på 8,2.
19/06/2026
Tekniske detaljer tilgængelige
Angrebsvektoren og den sårbare parameter (category_id) er beskrevet offentligt, hvilket øger risikoen for at automatiserede scannere og angribere hurtigt vil forsøge at udnytte fejlen.
19/06/2026
Ingen patch tilgængelig endnu
På tidspunktet for offentliggørelsen er der ikke bekræftet nogen officiel sikkerhedsopdatering fra udvikleren af Calendar Planner. Midlertidig løsning er deaktivering af komponenten.

Konkrete eksempler

Automatisk database-udtræk via sårbar URL

En angriber sender en simpel, manipuleret URL til dit Joomla-site – f.eks. /index.php?option=com_calendarplanner&view=events&category_id=1 UNION SELECT username,password FROM jos_users--. Hvis Calendar Planner 1.0.1 er installeret, returnerer serveren databasens brugeroplysninger direkte i svaret. Angriberen kan herefter forsøge at knække de hashede adgangskoder og få administratoradgang til dit site.

Masseudtræk af kundedata til videresalg

Et automatiseret script scanner tusindvis af Joomla-sites og identificerer dem der kører den sårbare komponent. For hvert sårbart site trækkes kundeoplysninger, e-mailadresser og eventuelle betalingsoplysninger ud på få sekunder. Dataene sælges efterfølgende på mørke-net-markeder, og din virksomhed opdager det først, når kunder begynder at modtage phishing-mails.

Forberedelse til målrettet ransomware-angreb

En angriber bruger SQL-injektionen til at kortlægge din databases struktur og udtrække administratoroplysninger. Med disse oplysninger forsøger angriberen at logge ind på dit Joomla-backend og eventuelt relaterede systemer. Opnår angriberen adgang, kan det føre til installation af malware eller ransomware (software der krypterer dine filer og kræver løsepenge), som kan lamme hele din virksomheds drift.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component Calendar Planner 1.0.1 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the category_id parameter. Attackers can send GET requests to the events view with malicious SQL code in the category_id parameter to extract sensitive database information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20267
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.