CVE-2019-25750
Alvorlig

CVE-2019-25750: SQL-fejl i Joomla J-MultipleHotelReservation

Kritisk SQL-fejl i Joomla-hotelkomponent giver fremmede adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2019-25750 er en SQL-injection-sårbarhed (en fejl hvor ondsindet kode kan smugles ind i databaseforespørgsler) i Joomla-tilføjelsen J-MultipleHotelReservation version 6.0.7. Fejlen sidder i søgefunktionen til hoteller, nærmere bestemt i et felt kaldet hotel_id. En angriber kan sende en særligt udformet forespørgsel til din hjemmeside og få din database til at udlevere oplysninger, den slet ikke burde dele. Angrebet kræver hverken brugernavn eller adgangskode — det kan udføres af hvem som helst på internettet.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed driver en Joomla-hjemmeside med komponenten J-MultipleHotelReservation 6.0.7 installeret. Det er typisk relevant for:

  • Hoteller, bed & breakfasts og ferieudlejere med online bookingsystem bygget i Joomla
  • Webbureau-kunder der har fået bygget en bookingløsning med netop denne komponent
  • Virksomheder der ikke har vedligeholdt eller opdateret deres Joomla-site i en periode

Er du i tvivl om, hvilke komponenter dit site bruger, bør du tjekke det med din webudvikler hurtigst muligt.

Hvad kan ske?

En angriber kan udnytte fejlen til at trække data ud af din database uden at logge ind. I praksis betyder det:

  • Kunddata lækkes — navne, e-mailadresser, telefonnumre og bookingoplysninger kan kopieres
  • Loginoplysninger stjæles — brugernavne og adgangskodehash (krypterede adgangskoder) kan hentes ud og forsøges knækket
  • Betalingsoplysninger eksponeres — hvis der gemmes kortdata eller andet følsomt i databasen, er det i fare
  • GDPR-brud — et læk af persondata kan udløse indberetningspligt til Datatilsynet og potentielle bøder

Angriberen kan ikke direkte slette data eller lægge siden ned via denne fejl, men kan bruge de stjålne oplysninger til videre angreb.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 8.2 ud af 10 — Alvorlig. Det skyldes især:

  • Ingen login kræves — enhver på internettet kan forsøge angrebet
  • Lav kompleksitet — angrebet er enkelt at udføre, også for mindre erfarne angribere
  • Høj fortrolighedsrisiko — store mængder følsomme data kan eksponeres

Kombinationen af nem adgang og alvorlige konsekvenser gør dette til en fejl, der skal håndteres hurtigt.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside:

  1. Tjek om du er ramt — log ind i dit Joomla-kontrolpanel og se under Udvidelser > Administrer, om J-MultipleHotelReservation 6.0.7 er installeret.
  2. Kontakt din webudvikler — gør dem opmærksomme på denne CVE og bed dem undersøge situationen samme dag.
  3. Opdater eller deaktiver komponenten — installer en opdateret version af komponenten, hvis en sådan findes. Findes der ingen patch, deaktiver komponenten midlertidigt, indtil fejlen er rettet.
  4. Gennemgå adgangslogge — bed din webudvikler eller hostingudbyder om at tjekke logfiler for mistænkelig aktivitet mod search-hotels-endpointet.
  5. Skift adgangskoder — hvis der er mistanke om, at data er tilgået, bør alle administratoradgangskoder til Joomla og databasen skiftes straks.
  6. Vurder GDPR-forpligtelse — har persondata potentielt været eksponeret, har du pligt til at indberette det til Datatilsynet inden for 72 timer fra opdagelse.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Denne sårbarhed er alvorlig, fordi den kræver nul forberedelse fra en angribers side — en simpel forespørgsel til din hjemmeside er nok. Har du J-MultipleHotelReservation installeret, bør du behandle dette som en akutsag og kontakte din webudvikler i dag. Selv hvis du deaktiverer komponenten midlertidigt, opnår du en vigtig beskyttelse, mens du finder en permanent løsning. Overvej desuden løbende vedligehold og automatiske sikkerhedsscanninger af dit Joomla-site for at opdage lignende problemer fremover.

Tidslinje

19/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2019-25750 med en CVSS-score på 8.2 og klassificerer den som alvorlig.
19/06/2026
Teknisk detalje frigivet
Den fulde tekniske beskrivelse af angrebet — herunder det sårbare parameter hotel_id og brugen af UNION SELECT-statements — offentliggøres i CVE-posten, hvilket gør det muligt for angribere at reproducere angrebet.
20/06/2026
Proof-of-concept tilgængeligt
Med den detaljerede beskrivelse i CVE-posten er det realistisk at antage, at proof-of-concept-kode (demonstrationskode der viser angrebet) hurtigt bliver tilgængelig i offentlige databaser som Exploit-DB.
19/06/2026
Patch-status undersøges
Brugere og webudviklere opfordres til at tjekke komponentudviklerens officielle kanal for en opdateret version og installere den hurtigst muligt.

Konkrete eksempler

Gæsteliste trukket ud af bookingsystem

En angriber sender en automatiseret forespørgsel til hotellets bookingside med et manipuleret hotel_id-felt indeholdende en UNION SELECT-kommando. Databasen returnerer navne, e-mailadresser og telefonnumre på alle registrerede gæster. Angriberen har nu en fuld liste over hotellets kunder — uden at have logget ind eller vist sig på ejendommen.

Administratoradgangskode stjålet

Via samme teknik retter angriberen forespørgslen mod Joomlas brugertabel og henter administratorens brugernavn samt den krypterede adgangskode (hash). Med et gængs cracking-værktøj kan adgangskoden knækkes, og angriberen logger derefter ind som administrator og får fuld kontrol over hjemmesiden.

Automatiseret masseangreb mod Joomla-sites

En gruppe angribere bruger automatiserede scanningsværktøjer til at finde alle Joomla-sites på internettet med J-MultipleHotelReservation installeret. På blot få timer scanner de tusindvis af sites og trækker data ud fra alle sårbare instanser. De indsamlede databaser sælges efterfølgende på mørke nettet eller bruges til phishing-kampagner mod de berørte gæster.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla Component J-MultipleHotelReservation 6.0.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the hotel_id parameter. Attackers can send POST requests to the search-hotels endpoint with crafted SQL UNION SELECT statements to extract sensitive database information including table names and column data.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25750
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.