CVE-2017-20282
Alvorlig

CVE-2017-20282: SQL injection i jCart til Joomla!

Sårbarhed i Joomla!-komponenten jCart giver hackere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
workaround
Exploit
poc_public
Tidsfrist
Opdater hurtigst muligt

Hvad er det?

CVE-2017-20282 er en SQL-injection-sårbarhed (en angrebsmetode hvor ondsindet kode smugles ind i databaseforespørgsler) i jCart-komponenten til OpenCart 2.0. Komponenten bruges til at integrere en indkøbskurv på Joomla!-drevne webshops. Fejlen sidder i parameteret product_id, som ikke validerer brugerinput korrekt. Det betyder, at en angriber kan sende særligt udformede webadresser til din server og dermed læse fortrolige data direkte fra din database — helt uden at have et brugernavn eller kodeord.

Hvem rammer det?

Sårbarheden rammer virksomheder, der driver en webshop bygget på Joomla! med jCart-komponenten til OpenCart 2.0 installeret. Det er typisk mindre og mellemstore webshops, der har brugt denne kombination til at håndtere produktsider og indkøbskurv. Hvis du er usikker på, om du bruger denne komponent, bør du spørge din webudvikler eller hostingudbyder.

Hvad kan ske?

En angriber kan udtrække følsomme oplysninger fra din database — det kan inkludere kundeoplysninger (navne, adresser, e-mails), ordrehistorik, hash-kodede adgangskoder og potentielt betalingsrelaterede data. Angriberen behøver ingen adgangskoder og kan udføre angrebet automatiseret via simple HTTP-forespørgsler. Der er også en begrænset risiko for, at data kan manipuleres. Konsekvenserne kan være brud på GDPR (databeskyttelsesforordningen), tab af kundernes tillid og potentielle bøder.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) af CVSS-systemet (en international standard for sårbarhedsvurdering). Den er særligt bekymrende fordi:

  • Angrebet kan udføres over internettet uden login
  • Det kræver ingen teknisk hjælp fra brugere på din side
  • Det er lavt komplekst — selv uerfarne angribere kan udnytte det med offentligt tilgængeligt værktøj
  • Fortrolighedsbruddet er vurderet som højt (C=HIGH)

Hvad gør jeg nu?

Handle nu for at beskytte din webshop og dine kunders data:

  1. Find ud af om du er ramt: Spørg din webudvikler eller hostingudbyder, om din Joomla!-installation bruger jCart-komponenten til OpenCart 2.0.
  2. Opdater eller fjern komponenten: Tjek om der findes en opdateret version af jCart uden sårbarheden. Bruges komponenten ikke aktivt, bør den afinstalleres straks.
  3. Begræns adgangen midlertidigt: Overvej at blokere adgang til det sårbare endpoint (index.php?option=com_jcart&route=product/product) via din webservers konfiguration eller en WAF (web application firewall — et sikkerhedslag foran din hjemmeside).
  4. Gennemgå dine logs: Bed din tekniker om at kigge i serverlogsene for mistænkelige forespørgsler med product_id-parameteret for at vurdere, om der allerede har været forsøg på angreb.
  5. Vurder GDPR-pligten: Hvis du har mistanke om, at data er blevet tilgået uretmæssigt, skal du vurdere om det udløser en indberetningspligt til Datatilsynet inden for 72 timer.
Tidsfrist

Opdater hurtigst muligt

Sådan ser Auroa det

Vi anbefaler, at du straks kontakter din webudvikler og får verificeret, om jCart-komponenten er installeret på din Joomla!-webshop. Hvis den er det, bør den enten opdateres til en sikker version eller fjernes, indtil en patch er tilgængelig. Overvej desuden at installere en web application firewall (WAF) som et generelt sikkerhedslag på din webshop — det reducerer risikoen for denne type angreb markant.

Tidslinje

01/01/2017
Sårbarhed introduceret
jCart-komponenten til OpenCart 2.0 udgives med den sårbare håndtering af product_id-parameteret uden tilstrækkelig inputvalidering.
19/06/2026
CVE offentliggjort i NVD
CVE-2017-20282 offentliggøres officielt i National Vulnerability Database med en CVSS-score på 8,2 (Alvorlig).
19/06/2026
Proof-of-concept tilgængeligt
Teknisk detaljer om angrebsmetoden er nu offentligt tilgængelige, hvilket øger risikoen for, at sårbarheden aktivt udnyttes af angribere.

Konkrete eksempler

Udtrækning af kundedata via URL

En angriber sender en manipuleret URL til din webshop, f.eks. index.php?option=com_jcart&route=product/product&product_id=1 UNION SELECT username,password FROM jos_users--. Serveren behandler forespørgslen som en legitim databasekommando og returnerer brugernavne og adgangskoder fra din Joomla!-brugerdatabase direkte til angriberen.

Automatiseret scanning af tusindvis af webshops

Kriminelle benytter automatiserede scanningsværktøjer til at gennemsøge internettet for Joomla!-installationer med jCart aktiveret. Når de finder en sårbar webshop, igangsættes et automatisk angreb, der udtrækker hele kundelisten på få minutter — uden at butiksejeren opdager det.

Tyveri af hashede adgangskoder til videre angreb

Via SQL injection henter en angriber de hashede (krypterede) adgangskoder fra din database. Med moderne cracking-software kan mange af disse knækkes på kort tid. De kompromitterede adgangskoder kan derefter bruges til at angribe dine kunders e-mail-konti eller andre tjenester, hvor de bruger samme kodeord.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component jCart for OpenCart 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the product_id parameter. Attackers can send GET requests to index.php with the option=com_jcart&route=product/product parameters and malicious product_id values to extract sensitive database information.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2017-20282
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
workaround
Tidsfrist
Opdater hurtigst muligt

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.