CVE-2019-25750: SQL-fejl i Joomla J-MultipleHotelReservation
Kritisk SQL-fejl i Joomla-hotelkomponent giver fremmede adgang til din database uden login.
Hvad er det?
CVE-2019-25750 er en SQL-injection-sårbarhed (en fejl hvor ondsindet kode kan smugles ind i databaseforespørgsler) i Joomla-tilføjelsen J-MultipleHotelReservation version 6.0.7. Fejlen sidder i søgefunktionen til hoteller, nærmere bestemt i et felt kaldet hotel_id. En angriber kan sende en særligt udformet forespørgsel til din hjemmeside og få din database til at udlevere oplysninger, den slet ikke burde dele. Angrebet kræver hverken brugernavn eller adgangskode — det kan udføres af hvem som helst på internettet.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed driver en Joomla-hjemmeside med komponenten J-MultipleHotelReservation 6.0.7 installeret. Det er typisk relevant for:
- Hoteller, bed & breakfasts og ferieudlejere med online bookingsystem bygget i Joomla
- Webbureau-kunder der har fået bygget en bookingløsning med netop denne komponent
- Virksomheder der ikke har vedligeholdt eller opdateret deres Joomla-site i en periode
Er du i tvivl om, hvilke komponenter dit site bruger, bør du tjekke det med din webudvikler hurtigst muligt.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække data ud af din database uden at logge ind. I praksis betyder det:
- Kunddata lækkes — navne, e-mailadresser, telefonnumre og bookingoplysninger kan kopieres
- Loginoplysninger stjæles — brugernavne og adgangskodehash (krypterede adgangskoder) kan hentes ud og forsøges knækket
- Betalingsoplysninger eksponeres — hvis der gemmes kortdata eller andet følsomt i databasen, er det i fare
- GDPR-brud — et læk af persondata kan udløse indberetningspligt til Datatilsynet og potentielle bøder
Angriberen kan ikke direkte slette data eller lægge siden ned via denne fejl, men kan bruge de stjålne oplysninger til videre angreb.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.2 ud af 10 — Alvorlig. Det skyldes især:
- Ingen login kræves — enhver på internettet kan forsøge angrebet
- Lav kompleksitet — angrebet er enkelt at udføre, også for mindre erfarne angribere
- Høj fortrolighedsrisiko — store mængder følsomme data kan eksponeres
Kombinationen af nem adgang og alvorlige konsekvenser gør dette til en fejl, der skal håndteres hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside:
- Tjek om du er ramt — log ind i dit Joomla-kontrolpanel og se under Udvidelser > Administrer, om J-MultipleHotelReservation 6.0.7 er installeret.
- Kontakt din webudvikler — gør dem opmærksomme på denne CVE og bed dem undersøge situationen samme dag.
- Opdater eller deaktiver komponenten — installer en opdateret version af komponenten, hvis en sådan findes. Findes der ingen patch, deaktiver komponenten midlertidigt, indtil fejlen er rettet.
- Gennemgå adgangslogge — bed din webudvikler eller hostingudbyder om at tjekke logfiler for mistænkelig aktivitet mod search-hotels-endpointet.
- Skift adgangskoder — hvis der er mistanke om, at data er tilgået, bør alle administratoradgangskoder til Joomla og databasen skiftes straks.
- Vurder GDPR-forpligtelse — har persondata potentielt været eksponeret, har du pligt til at indberette det til Datatilsynet inden for 72 timer fra opdagelse.
Handl inden for 24-48 timer
Denne sårbarhed er alvorlig, fordi den kræver nul forberedelse fra en angribers side — en simpel forespørgsel til din hjemmeside er nok. Har du J-MultipleHotelReservation installeret, bør du behandle dette som en akutsag og kontakte din webudvikler i dag. Selv hvis du deaktiverer komponenten midlertidigt, opnår du en vigtig beskyttelse, mens du finder en permanent løsning. Overvej desuden løbende vedligehold og automatiske sikkerhedsscanninger af dit Joomla-site for at opdage lignende problemer fremover.
Tidslinje
Konkrete eksempler
Gæsteliste trukket ud af bookingsystem
En angriber sender en automatiseret forespørgsel til hotellets bookingside med et manipuleret hotel_id-felt indeholdende en UNION SELECT-kommando. Databasen returnerer navne, e-mailadresser og telefonnumre på alle registrerede gæster. Angriberen har nu en fuld liste over hotellets kunder — uden at have logget ind eller vist sig på ejendommen.
Administratoradgangskode stjålet
Via samme teknik retter angriberen forespørgslen mod Joomlas brugertabel og henter administratorens brugernavn samt den krypterede adgangskode (hash). Med et gængs cracking-værktøj kan adgangskoden knækkes, og angriberen logger derefter ind som administrator og får fuld kontrol over hjemmesiden.
Automatiseret masseangreb mod Joomla-sites
En gruppe angribere bruger automatiserede scanningsværktøjer til at finde alle Joomla-sites på internettet med J-MultipleHotelReservation installeret. På blot få timer scanner de tusindvis af sites og trækker data ud fra alle sårbare instanser. De indsamlede databaser sælges efterfølgende på mørke nettet eller bruges til phishing-kampagner mod de berørte gæster.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside er sårbar?
Log ind i dit Joomla-kontrolpanel og gå til Udvidelser > Administrer. Søg efter J-MultipleHotelReservation. Er version 6.0.7 installeret og aktiv, er du potentielt sårbar. Din webudvikler kan hjælpe dig med at verificere det og undersøge logfiler for tegn på misbrug.
Kan angriberen slette eller ændre data på mit site?
Denne specifikke sårbarhed er primært rettet mod at læse data fra databasen. En angriber kan hente følsomme oplysninger ud, men selve fejlen giver ikke direkte adgang til at slette eller ændre indhold. Dog kan stjålne loginoplysninger efterfølgende bruges til yderligere angreb, hvor det bliver muligt.
Skal jeg indberette et potentielt datalæk til Datatilsynet?
Hvis du har grund til at tro, at persondata om kunder eller gæster kan være tilgået af uvedkommende, har du som udgangspunkt pligt til at indberette det til Datatilsynet inden for 72 timer efter opdagelse — det følger af GDPR-forordningen. Kontakt evt. en jurist eller din DPO (databeskyttelsesrådgiver) for konkret vejledning.
Hjælper en firewall eller sikkerhedsplugin mod dette angreb?
En webapplikationsfirewall (WAF) kan i mange tilfælde blokere kendte SQL-injection-forsøg og dermed reducere risikoen, mens du venter på en patch. Det er dog ikke en fuldgyldig løsning — den bedste beskyttelse er at opdatere eller deaktivere den sårbare komponent.
Hvad er SQL injection, og hvorfor er det farligt?
SQL injection betyder, at en angriber sniger ondsindet kode ind i en forespørgsel til din database — ligesom at smugle falske ordrer ind i et ordresystem. Databasen udfører så koden i god tro og udleverer data, den normalt ville holde skjult. Det er en af de mest udbredte og veldokumenterede angrebsmetoder mod hjemmesider.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Component J-MultipleHotelReservation 6.0.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the hotel_id parameter. Attackers can send POST requests to the search-hotels endpoint with crafted SQL UNION SELECT statements to extract sensitive database information including table names and column data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
