CVE-2019-25752: SQL-fejl i Joomla J-BusinessDirectory
Kritisk SQL-fejl i Joomla-tilføjelsen J-BusinessDirectory 4.9.7 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2019-25752 er en SQL-injection-sårbarhed (en fejl hvor angribere kan indsprøjte skadelige databasekommandoer) i Joomla-tilføjelsen J-BusinessDirectory version 4.9.7. Fejlen sidder i en parameter kaldet type, som hjemmesiden bruger til at hente kategorier. En angriber kan sende en særligt udformet webadresse til din hjemmeside og dermed tvinge databasen til at udlevere oplysninger, den slet ikke burde dele. Det kræver ingen forudgående adgang eller login — angrebet kan udføres af hvem som helst på internettet.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med tilføjelsen J-BusinessDirectory version 4.9.7 installeret og aktiveret. Det er typisk:
- Virksomheder med en online erhvervsportal eller katalogside bygget i Joomla
- Lokale erhvervsforeninger og kommuner med branchekataloger
- Webshops eller bookingplatforme der bruger J-BusinessDirectory til listevisning
Bruger du ikke Joomla, eller har du ikke denne specifikke tilføjelse installeret, er du ikke berørt.
Hvad kan ske?
Hvis en angriber udnytter sårbarheden, kan vedkommende:
- Læse hele din database — herunder brugernavne, adgangskoder (hash-værdier), e-mailadresser og andre personoplysninger
- Kortlægge din databasestruktur (tabelnavne, kolonnenavne) som forberedelse til et større angreb
- Eksponere kundedata, hvilket kan udløse en GDPR-brud-anmeldelse til Datatilsynet
Angrebet påvirker primært fortrolighed (C=HIGH). Der er begrænset risiko for direkte datamanipulation via denne sårbarhed alene, men kombineret med andre angrebsteknikker kan konsekvenserne eskalere.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig/High) af den internationale sikkerhedsstandard CVSS 3.1. Det er en høj score, der afspejler:
- Ingen adgangskrav: Angrebet kræver hverken konto eller særlig viden om din hjemmeside
- Ingen brugerinteraktion: Din hjemmeside behøver ikke at gøre noget — angriberen sender blot en GET-forespørgsel
- Lav angrebskompleksitet: Teknikken er velkendt og let at automatisere med gratis hacker-værktøjer
- Høj fortrolighedspåvirkning: Potentielt fuld databaselæsning
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, helst inden for 24-48 timer:
- Tjek om du er berørt: Log ind på dit Joomla-backend, gå til Udvidelser → Administrer, og søg efter J-BusinessDirectory. Notér versionsnummeret.
- Opdatér tilføjelsen: Er du på version 4.9.7, skal du opdatere til den nyeste tilgængelige version via udbyderens hjemmeside eller Joomla Extension Directory (JED).
- Midlertidig deaktivering: Hvis en opdatering ikke er tilgængelig endnu, kan du deaktivere tilføjelsen midlertidigt for at lukke angrebsfladen.
- Gennemgå dine logfiler: Bed din webmaster eller it-leverandør om at tjekke serverlogfiler for usædvanlige GET-forespørgsler mod index.php?option=com_jbusinessdirectory&task=categories.getCategories.
- Skift adgangskoder: Nulstil adgangskoder til Joomla-admin og databasen som en sikkerhedsforanstaltning.
- Vurder GDPR-ansvar: Har du grund til at tro, at data allerede er blevet tilgået, skal du kontakte din databeskyttelsesrådgiver og overveje anmeldelse til Datatilsynet inden 72 timer.
Opdatér inden for 24-48 timer
Vi anbefaler, at du opdaterer J-BusinessDirectory hurtigst muligt — helst i dag. SQL-injection-angreb som dette er nemme at automatisere, og din hjemmeside kan blive scannet og angrebet af bots, inden du er klar over det. Hvis du er i tvivl om, hvordan du opdaterer, eller ønsker en gennemgang af din Joomla-installation, er du velkommen til at kontakte os — vi hjælper dig sikkert igennem det.
Tidslinje
Konkrete eksempler
Automatiseret databaseudtræk
En angriber bruger et gratis hacker-værktøj som SQLMap til automatisk at sende hundredvis af forespørgsler til din Joomla-side. Inden for få minutter har værktøjet kortlagt hele din databasestruktur og begynder at udtrække brugernavne, e-mailadresser og krypterede adgangskoder fra din Joomla-brugertabel. Disse data kan efterfølgende sælges eller bruges til at overtage brugerkonti.
Målrettet kundedataeksponering
En konkurrent eller kriminel aktør opdager via en offentlig søgning, at din virksomhedsportal kører J-BusinessDirectory 4.9.7. Ved at sende én enkelt manipuleret URL til din hjemmeside kan vedkommende trække navne, adresser og kontaktoplysninger på alle virksomheder og brugere i dit katalog ud. Det kan udgøre et brud på GDPR, som skal anmeldes til Datatilsynet inden 72 timer.
Springbræt til videre angreb
Via SQL-injection-angrebet finder hackeren databasens administrative adgangskoder eller anden fortrolig konfigurationsinformation. Med disse oplysninger forsøger hackeren at logge ind på andre systemer i din virksomhed — fx e-mail, CRM eller bank-integration — ved at afprøve de fundne adgangskoder (et såkaldt credential-stuffing-angreb).
Ofte stillede spørgsmål
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection betyder, at en angriber indsætter skadelige databasekommandoer i et felt eller en parameter på din hjemmeside. Databasen opfatter dem som legitime instruktioner og udfører dem. Det er farligt, fordi det kan give angriberen fuld læseadgang til alle oplysninger i din database — uden at de har et brugernavn eller en adgangskode.
Kan jeg se, om nogen allerede har angrebet min hjemmeside?
Ja, delvist. Bed din webhost eller it-leverandør om at gennemgå serverens adgangslog (access log) og lede efter forespørgsler, der indeholder com_jbusinessdirectory kombineret med mistænkelige tegn som UNION, SELECT eller —. Det giver ikke et 100% sikkert svar, men kan afsløre kendte angrebsmønstre.
Jeg bruger Joomla, men er ikke sikker på om jeg har J-BusinessDirectory. Hvordan tjekker jeg?
Log ind på dit Joomla-administratorpanel (typisk på din-side.dk/administrator). Gå til menuen Udvidelser → Administrer → Administrer. Søg efter ‘BusinessDirectory’ i søgefeltet. Hvis den vises, har du tilføjelsen installeret — og du bør straks tjekke versionen og opdatere.
Er det nok at deaktivere tilføjelsen midlertidigt?
Deaktivering lukker den umiddelbare angrebsmulighed, men løser ikke den underliggende fejl. Det er en nødløsning, hvis en patch ikke er tilgængelig, eller hvis du har brug for tid til at planlægge opdateringen. Sørg for at opdatere til en rettet version så hurtigt som muligt, og genaktivér tilføjelsen først derefter.
Hvad sker der, hvis jeg ikke gør noget?
Din hjemmeside forbliver sårbar over for et angreb, der kan udføres af hvem som helst på internettet. Hackergrupper bruger automatiserede værktøjer til at scanne tusindvis af hjemmesider dagligt for netop denne type fejl. Udover datatab risikerer du bøder under GDPR, hvis kundeoplysninger kompromitteres, og et potentielt omdømmetab over for dine kunder og samarbejdspartnere.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component J-BusinessDirectory 4.9.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the type parameter. Attackers can send GET requests to index.php with the option=com_jbusinessdirectory&task=categories.getCategories parameters and inject UNION-based SQL statements in the type parameter to extract database information including schema names and sensitive data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
