CVE-2019-25754: SQL-injektion i Joomla vRestaurant
SQL-injektionsfejl i Joomla-tilføjelsesprogrammet vRestaurant 1.9.4 giver angribere adgang til hele databasen uden login.
Hvad er det?
CVE-2019-25754 er en SQL-injektionssårbarhed (en teknik hvor angribere smugler ondsindet databasekode ind i en hjemmesideformular) i tilføjelsesprogrammet vRestaurant 1.9.4 til det populære CMS-system Joomla. Fejlen sidder i søgeparameteren keysearch på menulistesiden. Ved at sende en særligt udformet forespørgsel kan en angriber få hjemmesidens database til at udlevere følsomme oplysninger — uden at have et brugernavn eller en adgangskode. Angrebet kræver ingen særlige tekniske forudsætninger og kan udføres af hvem som helst med en internetforbindelse.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en hjemmeside eller webshop bygget på Joomla med tilføjelsesprogrammet vRestaurant version 1.9.4 installeret. Det drejer sig typisk om restauranter, caféer og andre spisesteder, der bruger denne løsning til at vise menukort online. Hvis din Joomla-side bruger en ældre eller uopdateret version af vRestaurant, er du i risikozonen.
Hvad kan ske?
En angriber kan udnytte fejlen til at:
- Læse hele databasen — herunder kundeoplysninger, reservationer og kontaktdata.
- Hente brugernavne og adgangskoder (typisk krypterede, men stadig en risiko) fra Joomla-administratorkontiene.
- Kortlægge databasestrukturen og forberede mere avancerede angreb som datatyveri eller ransomware.
- I visse konfigurationer ændre data i databasen, f.eks. slette eller manipulere indhold.
Fortrolighed (hvem der kan se dine data) er den primære risiko ved denne sårbarhed.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 på den internationale CVSS-skala, hvilket klassificeres som alvorlig. Den høje score skyldes, at angrebet kan udføres over internettet, ikke kræver login og er teknisk enkelt at gennemføre. Det eneste, der begrænser scoren en smule, er, at angriberen primært kan læse data frem for at slette eller kryptere det. Risikoen for datalæk og brud på GDPR (persondataforordningen) er reel og betydelig.
Hvad gør jeg nu?
Følg disse trin for at beskytte din Joomla-hjemmeside hurtigst muligt:
- Tjek om du bruger vRestaurant — log ind på dit Joomla-adminpanel og gå til Udvidelser → Administrer. Søg efter vRestaurant og notér versionsnummeret.
- Opdatér eller afinstallér tilføjelsesprogrammet — kontakt udvikleren bag vRestaurant og undersøg, om der er en opdateret version tilgængelig. Hvis ikke, bør du midlertidigt deaktivere og afinstallere komponenten.
- Skift adgangskoder — skift adgangskoder på alle Joomla-administratorkonti som en sikkerhedsforanstaltning.
- Tjek dine logfiler — bed din webhost eller IT-ansvarlige om at gennemgå serverlogfiler for mistænkelige POST-forespørgsler til menu-listing-layout-siden.
- Aktivér en WAF — overvej at aktivere en webapplikationsfirewall (et filter der blokerer ondsindet trafik) hos din webhost eller via en tjeneste som Cloudflare.
- Informér din DPO — hvis du behandler persondata (f.eks. reservationer), skal du vurdere, om et eventuelt databrud skal anmeldes til Datatilsynet inden for 72 timer.
Opdatér inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer vRestaurant-komponenten på din Joomla-side, indtil en officiel rettelse er tilgængelig. Kontakt din webmaster eller IT-leverandør i dag og bed dem gennemgå logfiler for tegn på uautoriseret adgang. Har du mistanke om, at data allerede er kompromitteret, skal du handle efter din GDPR-beredskabsplan og eventuelt anmelde hændelsen til Datatilsynet.
Tidslinje
Konkrete eksempler
Automatiseret databaseudtræk via søgefelt
En angriber bruger et automatiseret SQL-injektionsværktøj som sqlmap og retter det mod din Joomla-sides menulisteside. Inden for få minutter har værktøjet kortlagt hele din database og hentet navne, e-mailadresser og hashede adgangskoder på alle dine Joomla-administratorer — uden at der kræves et enkelt login. Angriberen kan derefter forsøge at knække adgangskoderne og overtage din hjemmeside fuldstændigt.
Datatyveri af kundeoplysninger og reservationer
En konkurrent eller kriminel aktør sender en særligt udformet POST-forespørgsel til din restaurants hjemmeside og udtrækker alle gæsteoplysninger fra din reservationsdatabase — herunder navne, telefonnumre og e-mailadresser. Disse data kan sælges videre på det mørke internet eller bruges til phishing-angreb (bedrageri via falske e-mails) mod dine kunder.
Forberedelse til ransomware-angreb
En avanceret angriber bruger SQL-injektionen til at kortlægge din hjemmesides databasestruktur og finde loginoplysninger til backend-systemer. Med disse oplysninger i hånden forsøger angriberen at eskalere adgangen til din webserver, hvorfra der kan installeres ransomware (software der krypterer dine filer og kræver løsesum). Det hele starter med et enkelt ondsindet søgeord i menufeltet.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber smugler ondsindet databasekode ind i et inputfelt på en hjemmeside — i dette tilfælde søgefeltet på menulistesiden. Databasesystemet udfører derefter den ondsindede kode som en legitim kommando, hvilket kan resultere i, at fortrolige data udleveres til angriberen. Det er farligt, fordi det ikke kræver avancerede færdigheder og kan udføres automatisk af hackingværktøjer.
Skal jeg bekymre mig, hvis jeg ikke bruger vRestaurant-komponenten?
Nej — denne sårbarhed er specifik for tilføjelsesprogrammet vRestaurant version 1.9.4 til Joomla. Bruger du ikke dette specifikke tilføjelsesprogram, er du ikke sårbar over for denne fejl. Andre Joomla-komponenter kan dog have egne sårbarheder, så generel opdatering er altid en god idé.
Kan jeg se, om nogen allerede har udnyttet sårbarheden på min side?
Ja, delvist. Bed din webhost eller IT-ansvarlige om at gennemgå serverlogfiler og lede efter usædvanlige POST-forespørgsler til adressen /menu-listing-layout med mistænkeligt lange eller mærkelige tegn i søgeparameteren. Tegn på SQL-injektion kan være strenge som
UNION SELECT,information_schemaeller mange anførselstegn i forespørgsler. En professionel sikkerhedsgennemgang anbefales.Hvad sker der med mine kunders data, hvis jeg er blevet kompromitteret?
Hvis en angriber har haft adgang til din database, kan oplysninger som navne, e-mailadresser, telefonnumre og reservationsdata være stjålet. Under GDPR (persondataforordningen) er du forpligtet til at anmelde et sådant databrud til Datatilsynet inden for 72 timer, hvis det udgør en risiko for de berørte personers rettigheder. Du bør også overveje at informere de berørte kunder direkte.
Er der en hurtig teknisk løsning, hvis jeg ikke kan opdatere med det samme?
Som midlertidig løsning kan du deaktivere vRestaurant-komponenten i Joomla-adminpanelet under Udvidelser → Administrer. Du kan også aktivere en webapplikationsfirewall (WAF) via din webhost eller Cloudflare, der kan blokere SQL-injektionsforsøg. Disse er dog kun midlertidige foranstaltninger — den permanente løsning er en opdateret version af komponenten eller en erstatning.
Gælder dette alle versioner af vRestaurant?
Den offentliggjorte sårbarhed er bekræftet i version 1.9.4 af vRestaurant. Det er endnu uklart, om ældre eller nyere versioner er påvirkede. Kontakt udgiveren af vRestaurant direkte for at få bekræftet, hvilke versioner der er sikre, og om en opdatering er på vej.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Component vRestaurant 1.9.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the keysearch parameter. Attackers can send POST requests to the menu-listing-layout endpoint with crafted SQL payloads in the keysearch parameter to extract database table names and sensitive information from the database.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
