CVE-2017-20281
Alvorlig

CVE-2017-20281: SQL-fejl i Joomla Extra Search 2.2.8

Kritisk SQL-fejl i Joomla-tilføjelse lader hackere læse hele din database uden at logge ind.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2017-20281 er en SQL-injektionssårbarhed (en fejl der lader angribere manipulere databaseforespørgsler) i Joomla-tilføjelsen Extra Search version 2.2.8. Fejlen sidder i et søgefelt kaldet establename, som ikke tjekker brugerinput ordentligt. Det betyder, at en angriber kan sende en særligt udformet webadresse til din hjemmeside og tvinge databasen til at udlevere følsomme oplysninger — uden at have brugernavn eller adgangskode. Angrebet kræver ingen teknisk adgang til din server og kan udføres af hvem som helst på internettet.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed har en Joomla-baseret hjemmeside med tilføjelsen Extra Search i version 2.2.8 installeret. Det er typisk relevant for:

  • SMV’er med ældre Joomla-hjemmesider bygget af et bureau
  • Foreninger og organisationer med selvadministrerede Joomla-sider
  • Webshops eller portaler der bruger Joomla med tredjeparts-tilføjelser

Hvis du er usikker på, om din hjemmeside bruger Joomla eller denne tilføjelse, bør du kontakte din webansvarlige eller leverandør.

Hvad kan ske?

En angriber der udnytter fejlen kan:

  • Læse hele din database — herunder kundeoplysninger, ordredata og interne notater
  • Stjæle brugernavne og adgangskoder (krypterede eller ej) fra Joomla-administratorer og brugere
  • Eksponere personoplysninger som e-mailadresser, telefonnumre og adresser — med potentielle GDPR-konsekvenser til følge
  • Bruge de hentede oplysninger som springbræt til yderligere angreb, f.eks. overtagelse af administratorkontoen

Angrebet efterlader ikke nødvendigvis synlige spor og kan foregå i det skjulte over tid.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 8.2 ud af 10 (Alvorlig). Den scorer højt fordi:

  • Angrebet kan udføres over internettet uden login eller særlige rettigheder
  • Det kræver ingen interaktion fra brugere på din side
  • Angreber kan hente store mængder fortrolige data fra din database

Den eneste begrænsende faktor er, at angriberen ikke direkte kan ændre eller slette data (lav integritetspåvirkning) og ikke kan nedlægge din hjemmeside (ingen tilgængelighedspåvirkning). Fortroligheden af dine data er dog i høj risiko.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte din hjemmeside:

  1. Find ud af om du er berørt: Log ind på din Joomla-administrator (typisk dinside.dk/administrator) og tjek under Udvidelser, om Extra Search version 2.2.8 er installeret.
  2. Opdater eller afinstaller tilføjelsen: Undersøg om der findes en nyere version af Extra Search. Hvis ikke, deaktiver og afinstaller tilføjelsen midlertidigt, indtil en opdatering foreligger.
  3. Tjek dine adgangslogge: Bed din webhost om at udlevere serverlogge og søg efter usædvanlige forespørgsler til index.php?option=com_extrasearch.
  4. Skift adgangskoder: Skift adgangskoden til din Joomla-administrator og til din database som en sikkerhedsforanstaltning.
  5. Overvej en WAF: En Web Application Firewall (et digitalt skjold foran din hjemmeside) kan blokere SQL-injektionsforsøg automatisk, mens du afventer en permanent løsning.
  6. Orientér din databehandler eller DPO: Har du mistanke om, at data allerede er blevet stjålet, skal du vurdere om det udløser en GDPR-anmeldelsespligt til Datatilsynet inden for 72 timer.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer Extra Search-tilføjelsen, hvis du ikke kan opdatere den til en sikker version. En upatched SQL-injektionssårbarhed af denne karakter bør aldrig forblive aktiv på en offentlig hjemmeside. Kontakt din webansvarlige i dag, og overvej at få en professionel til at gennemse dine adgangslogge for tegn på tidligere udnyttelse — især hvis du opbevarer personoplysninger på sitet.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2017-20281 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 8.2 (Alvorlig).
19/06/2026
Tekniske detaljer tilgængelige
Den fulde tekniske beskrivelse af angrebet — herunder hvilken parameter der er sårbar og hvordan GET-forespørgslen udformes — er tilgængelig offentligt, hvilket sænker barren for potentielle angribere markant.
19/06/2026
Ingen officiel patch tilgængelig
På tidspunktet for offentliggørelsen er der ikke udgivet en opdateret version af Extra Search der lukker sårbarheden. Brugere anbefales at deaktivere tilføjelsen som midlertidig løsning.
19/06/2026
Proof-of-concept kendt
Angrebsvektoren er detaljeret beskrevet i den offentlige CVE-registrering, hvilket reelt fungerer som en vejledning til udnyttelse. Risikoen for aktive angrebsforsøg vurderes som høj.

Konkrete eksempler

Angriberen trækker kundelisten ud

En angriber opdager via automatiseret scanning, at din Joomla-side bruger Extra Search 2.2.8. Han sender en enkel webadresse til din side med ondsindet SQL-kode i establename-feltet. Inden for sekunder returnerer din hjemmeside navne, e-mailadresser og telefonnumre på alle dine kunder — uden at han nogensinde har haft et brugernavn eller en adgangskode.

Administrator-login kompromitteres

Via SQL-injektionen henter angriberen den krypterede adgangskode til din Joomla-administrator. Han bruger derefter et almindeligt tilgængeligt program til at knække krypteringen. Med administrator-adgang kan han nu ændre indhold på din hjemmeside, installere skadelig software eller videresælge adgangen til andre kriminelle.

Stille dataindsamling over tid

En angriber udnytter ikke sårbarheden til én stor datatyveri, men forespørger i stedet lidt ad gangen over flere uger for at undgå alarmer. Resultat: din komplette kundedatabase er kopieret uden at du har opdaget det. Først måneder senere, når data dukker op til salg på et mørkt hjørne af internettet, opdager du, at du har haft et brud.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component Extra Search 2.2.8 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the establename parameter. Attackers can send GET requests to index.php with the option=com_extrasearch parameter and malicious SQL in the establename field to extract sensitive database information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20281
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.