CVE-2019-25751
Alvorlig

CVE-2019-25751: SQL-fejl i Joomla J-ClassifiedsManager

Kritisk SQL-fejl i Joomla-tilføjelsen J-ClassifiedsManager giver hackere adgang til hele din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

J-ClassifiedsManager er et tilføjelsesprogram (også kaldet en komponent) til hjemmesideplatformen Joomla, som bruges til at lave annoncemarkeder og klassificerede annoncer. Version 3.0.5 af dette program indeholder en alvorlig fejl kaldet SQL-injektion. SQL er det sprog, hjemmesider bruger til at tale med deres database. Fejlen betyder, at en angriber kan sende særligt udformede kommandoer til din hjemmeside og narre den til at udlevere indholdet af din database — herunder brugernavne, adgangskoder og andre følsomme oplysninger. Det kræver hverken et brugernavn eller en adgangskode at udnytte fejlen.

Hvem rammer det?

Fejlen rammer alle virksomheder og foreninger, der driver en Joomla-hjemmeside med komponenten J-ClassifiedsManager i version 3.0.5 installeret og aktiv. Det kan fx være virksomheder, der har en jobportal, en brugtbørs eller en annoncesektion på deres hjemmeside bygget med dette plugin. Hvis du er usikker på, om din hjemmeside bruger dette program, bør du spørge din webudvikler eller hostingudbyder.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan:

  • Trække hele din databases indhold ud — herunder kundeoplysninger, brugernavne og krypterede adgangskoder
  • Få kendskab til din hjemmesides tekniske opbygning, som kan bruges til yderligere angreb
  • I visse tilfælde forsøge at gætte eller knække adgangskoder og dermed få administratoradgang til din hjemmeside
  • Eksponere persondata om dine kunder eller medlemmer, hvilket kan udløse en GDPR-brud-situation med meldepligt til Datatilsynet

Selve tilgængeligheden af hjemmesiden påvirkes ikke direkte, men fortrolighed og integritet af dine data er i fare.

Hvor alvorligt er det?

Sårbarheden har fået en CVSS-score på 8,2 ud af 10, hvilket klassificeres som alvorlig (high). Det er særligt bekymrende, fordi:

  • Angrebet kan udføres over internettet fra hele verden
  • Det kræver ingen teknisk forberedelse eller særlige rettigheder
  • Angriberen behøver ikke være logget ind på din hjemmeside
  • Der kræves ingen interaktion fra din side eller dine brugeres side

Kombinationen af lav angrebskompleksitet og høj datapåvirkning gør dette til en fejl, der bør håndteres hurtigt.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside:

  1. Identificér om du er ramt: Log ind på din Joomla-administrator og tjek under Udvidelser, om J-ClassifiedsManager version 3.0.5 er installeret og aktiv.
  2. Opdatér eller afinstallér komponenten: Undersøg om udvikleren bag J-ClassifiedsManager har udgivet en opdateret version. Hvis der ikke findes en opdatering, bør du deaktivere og afinstallere komponenten midlertidigt.
  3. Tjek dine logfiler: Bed din webudvikler eller hostingudbyder om at gennemgå hjemmesidens adgangslogfiler for mistænkelig aktivitet i parametrene categorySearch, adType og citySearch.
  4. Skift adgangskoder: Skift adgangskoder til Joomla-administrator og den database, hjemmesiden anvender — særligt hvis du mistænker, at data kan være kompromitteret.
  5. Vurdér GDPR-forpligtelser: Hvis persondata om kunder eller brugere kan være tilgået, har du pligt til at vurdere, om du skal anmelde bruddet til Datatilsynet inden for 72 timer.
  6. Overvej en Web Application Firewall (WAF): En WAF kan som midlertidig løsning blokere SQL-injektionsforsøg, mens du venter på en permanent rettelse.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Denne sårbarhed bør behandles som en akut sag, fordi den er nem at udnytte og ikke kræver nogen form for adgang til din hjemmeside i forvejen. Vi anbefaler, at du øjeblikkeligt deaktiverer J-ClassifiedsManager-komponenten, indtil en opdateret og sikker version er tilgængelig. Kontakt din webudvikler eller Auroa for hjælp til at vurdere, om din hjemmeside allerede har været udsat for forsøg på udnyttelse, og om du har GDPR-forpligtelser som følge heraf.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Den amerikanske nationale sårbarhedsdatabase (NVD) offentliggør CVE-2019-25751 med en alvorlighedsscore på 8,2. Sårbarheden i J-ClassifiedsManager 3.0.5 beskrives offentligt for første gang.
19/06/2026
Tekniske detaljer tilgængelige
Sammen med offentliggørelsen er de berørte parametre (categorySearch, adType, citySearch) beskrevet i detaljer, hvilket gør det muligt for angribere at konstruere udnyttelseskode relativt hurtigt.
20/06/2026
Forventet øget angrebsrisiko
Erfaringsmæssigt stiger antallet af automatiserede skanninger og angrebsforsøg i dagene umiddelbart efter, at en CVE med lave krav til angriberen offentliggøres. Hjemmesider med J-ClassifiedsManager bør betragtes som aktivt målrettede fra dette tidspunkt.
09/07/2026
Patch-status afventer
På offentliggørelsestidspunktet er der ikke bekræftet en officiel opdatering fra udvikleren bag J-ClassifiedsManager. Følg komponentens officielle kanal eller Joomla Extensions Directory for opdateringer.

Konkrete eksempler

Udtræk af alle brugernavne og adgangskoder

En angriber sender en automatiseret forespørgsel til din Joomla-hjemmesides søgefunktion med en skjult SQL-kommando i søgefeltet for bykategorier (citySearch). Hjemmesiden videresender kommandoen til databasen, som svarer med en komplet liste over alle registrerede brugere — herunder e-mailadresser og krypterede adgangskoder. Angriberen kan derefter forsøge at knække adgangskoderne offline og logge ind som administrator.

Kortlægning af databasestruktur til videre angreb

Via parametret adType injicerer en angriber en SQL-kommando, der beder databasen om at udlevere en liste over alle tabeller og kolonner. Med denne viden kan angriberen målrette yderligere angreb mod specifikke tabeller, fx en tabel med betalingsoplysninger eller persondata om kunder, og trække præcis de data ud, der er mest værdifulde.

Automatiseret masseangreb via scanner

Cyberkriminelle bruger automatiserede scanningsværktøjer, der kontinuerligt gennemsøger internettet for Joomla-hjemmesider med kendte sårbare komponenter. Når din hjemmeside identificeres som kørende J-ClassifiedsManager 3.0.5, afsendes udnyttelseskoden automatisk. Hele processen kan ske på få sekunder uden menneskelig indgriben fra angriberens side, og din hjemmeside opdager det ikke nødvendigvis med det samme.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla Component J-ClassifiedsManager 3.0.5 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through POST parameters. Attackers can submit crafted SQL payloads in the categorySearch, adType, and citySearch parameters to the displayads component to extract sensitive database information including usernames, databases, and version details.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25751
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.