CVE-2017-20268
Alvorlig

CVE-2017-20268: SQL-fejl i Joomla Zap Calendar Lite

Kritisk SQL-fejl i Joomla-kalenderkomponent giver hackere direkte adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
workaround
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2017-20268 er en SQL-injection-sårbarhed (en teknik hvor angribere smugler skadelige databasekommandoer ind i en forespørgsel) i Joomla-komponenten Zap Calendar Lite version 4.3.4. Fejlen sidder i et felt kaldet eid i kalenderens RSVP-funktion (tilmeldingssystem til begivenheder). En angriber kan sende en særligt udformet webadresse til din hjemmeside og få din database til at udlevere oplysninger, den slet ikke burde dele. Det kræver hverken brugernavn, kodeord eller særlige rettigheder at udnytte fejlen — alle med internetadgang kan forsøge angrebet.

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en hjemmeside baseret på Joomla! og har installeret tilføjelsen Zap Calendar Lite version 4.3.4. Det er typisk virksomheder, foreninger og organisationer, der bruger Joomla som CMS (indholdsstyringssystem) og har aktiveret kalender- og begivenhedsfunktioner med tilmeldingsmulighed. Har du ikke denne specifikke komponent installeret, er du ikke i farezonen for netop denne sårbarhed.

Hvad kan ske?

En angriber kan udnytte fejlen til at:

  • Trække følsomme data ud af din database — herunder brugernavne, krypterede adgangskoder, e-mailadresser og andre personoplysninger.
  • Kortlægge din databasestruktur — navne på tabeller og kolonner, som kan bruges til yderligere angreb.
  • Potentielt tilgå andre systemer, hvis databasebrugeren har brede rettigheder.

Fortrolighed er den primære risiko (CVSS C=HIGH). Angrebet kan også resultere i mindre, utilsigtede dataændringer (I=LOW). Din hjemmesides tilgængelighed påvirkes ikke direkte.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale CVSS-system. Det er en høj score, primært fordi:

  • Angrebet kan udføres over internettet uden login.
  • Det er teknisk let at udføre — lav kompleksitet.
  • Det giver adgang til følsomme data, som kan bruges til identitetstyveri, videre angreb eller brud på GDPR-reglerne.

SQL-injection er en af de mest kendte og hyppigt misbrugte angrebstyper på nettet, og automatiserede scannerværktøjer kan finde og udnytte sådanne fejl uden menneskelig indgriben.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside hurtigst muligt:

  1. Kontrollér om du bruger Zap Calendar Lite — log ind i Joomlas backend og gå til Udvidelser → Administrer. Søg efter ‘Zap Calendar’.
  2. Opdatér eller afinstallér komponenten — undersøg om der findes en opdateret version hos udgiveren. Finder du ingen patch, bør du deaktivere og fjerne komponenten øjeblikkeligt.
  3. Gennemgå dine logfiler — bed din webhost eller IT-ansvarlige om at tjekke serverlogge for usædvanlige GET-forespørgsler mod kalenderens RSVP-endpoint.
  4. Skift adgangskoder — hvis du ikke kan udelukke et angreb, bør du straks skifte databaseadgangskoder og Joomla-administratoradgangskoder.
  5. Orientér din databeskyttelsesrådgiver — hvis persondata kan være kompromitteret, kan du have pligt til at anmelde bruddet til Datatilsynet inden for 72 timer (GDPR artikel 33).
  6. Overvej en WAF — en Web Application Firewall (et digitalt sikkerhedsskjold foran din hjemmeside) kan blokere SQL-injection-forsøg som midlertidig beskyttelse.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vores klare anbefaling er, at du øjeblikkeligt deaktiverer Zap Calendar Lite, hvis du ikke kan bekræfte, at en sikkerhedsopdatering er tilgængelig og installeret. SQL-injection-angreb mod Joomla-komponenter er velkendte og let automatiserbare, og det er ikke et spørgsmål om om, men hvornår en scanner finder din side. Kontakt os gerne, hvis du har brug for hjælp til at vurdere omfanget eller implementere midlertidige beskyttelsesforanstaltninger.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
CVE-2017-20268 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 8.2 (Alvorlig).
19/06/2026
Proof-of-concept tilgængeligt
Ved offentliggørelsen var teknisk dokumentation og angrebsmetoden for SQL-injection via 'eid'-parameteren kendt, hvilket gør det muligt for angribere at reproducere angrebet.
19/06/2026
Ingen officiel patch bekræftet
På tidspunktet for offentliggørelsen var der ikke bekræftet en officiel sikkerhedsopdatering fra udgiveren af Zap Calendar Lite. Anbefalet handling er deaktivering og fjernelse af komponenten.
20/06/2026
Automatiserede scannere forventes aktive
Kendte sårbarheder i populære CMS-komponenter som Joomla indekseres hurtigt af automatiserede hackingværktøjer, der systematisk scanner internettet for sårbare installationer.

Konkrete eksempler

Databaseudtræk via kalender-tilmelding

En angriber besøger din Joomla-hjemmeside og identificerer, at du bruger Zap Calendar Lite med RSVP-funktionen aktiv. Angriberen sender en GET-forespørgsel til kalenderens endpoint med en manipuleret eid-parameter, der indeholder en SQL-kommando som UNION SELECT. Din server svarer med navne på alle databasetabeller — herunder tabellen med Joomla-brugere og deres krypterede adgangskoder.

Automatiseret masseangreb via sårbarhedsscanner

En kriminel gruppe kører et automatiseret scannerværktøj, der gennemsøger tusindvis af hjemmesider på én time for kendte Joomla-komponenter. Når din side identificeres som sårbar, udtrækkes databaseindhold automatisk uden menneskelig indgriben. De stjålne data — e-mailadresser og adgangskoder — sættes til salg på det mørke net eller bruges til målrettede phishing-angreb mod dine kunder.

Kortlægning til videre angreb

En angriber bruger SQL-injektionen til at kortlægge hele din databases struktur: tabelnavne, kolonnenavne og relationer. Med denne viden kan angriberen formulere præcise angreb mod specifikke data — eksempelvis trække alle kundeordrer ud eller identificere administratorbrugere og derefter forsøge at gætte eller knække deres adgangskoder for at overtage hele hjemmesiden.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component Zap Calendar Lite 4.3.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the ‘eid’ parameter. Attackers can send GET requests to the RSVP plugin endpoint with crafted SQL payloads to extract sensitive database information including database names and table structures.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20268
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
workaround
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.