CVE-2019-25754
Alvorlig

CVE-2019-25754: SQL-injektion i Joomla vRestaurant

SQL-injektionsfejl i Joomla-tilføjelsesprogrammet vRestaurant 1.9.4 giver angribere adgang til hele databasen uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

CVE-2019-25754 er en SQL-injektionssårbarhed (en teknik hvor angribere smugler ondsindet databasekode ind i en hjemmesideformular) i tilføjelsesprogrammet vRestaurant 1.9.4 til det populære CMS-system Joomla. Fejlen sidder i søgeparameteren keysearch på menulistesiden. Ved at sende en særligt udformet forespørgsel kan en angriber få hjemmesidens database til at udlevere følsomme oplysninger — uden at have et brugernavn eller en adgangskode. Angrebet kræver ingen særlige tekniske forudsætninger og kan udføres af hvem som helst med en internetforbindelse.

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en hjemmeside eller webshop bygget på Joomla med tilføjelsesprogrammet vRestaurant version 1.9.4 installeret. Det drejer sig typisk om restauranter, caféer og andre spisesteder, der bruger denne løsning til at vise menukort online. Hvis din Joomla-side bruger en ældre eller uopdateret version af vRestaurant, er du i risikozonen.

Hvad kan ske?

En angriber kan udnytte fejlen til at:

  • Læse hele databasen — herunder kundeoplysninger, reservationer og kontaktdata.
  • Hente brugernavne og adgangskoder (typisk krypterede, men stadig en risiko) fra Joomla-administratorkontiene.
  • Kortlægge databasestrukturen og forberede mere avancerede angreb som datatyveri eller ransomware.
  • I visse konfigurationer ændre data i databasen, f.eks. slette eller manipulere indhold.

Fortrolighed (hvem der kan se dine data) er den primære risiko ved denne sårbarhed.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 på den internationale CVSS-skala, hvilket klassificeres som alvorlig. Den høje score skyldes, at angrebet kan udføres over internettet, ikke kræver login og er teknisk enkelt at gennemføre. Det eneste, der begrænser scoren en smule, er, at angriberen primært kan læse data frem for at slette eller kryptere det. Risikoen for datalæk og brud på GDPR (persondataforordningen) er reel og betydelig.

Hvad gør jeg nu?

Følg disse trin for at beskytte din Joomla-hjemmeside hurtigst muligt:

  1. Tjek om du bruger vRestaurant — log ind på dit Joomla-adminpanel og gå til Udvidelser → Administrer. Søg efter vRestaurant og notér versionsnummeret.
  2. Opdatér eller afinstallér tilføjelsesprogrammet — kontakt udvikleren bag vRestaurant og undersøg, om der er en opdateret version tilgængelig. Hvis ikke, bør du midlertidigt deaktivere og afinstallere komponenten.
  3. Skift adgangskoder — skift adgangskoder på alle Joomla-administratorkonti som en sikkerhedsforanstaltning.
  4. Tjek dine logfiler — bed din webhost eller IT-ansvarlige om at gennemgå serverlogfiler for mistænkelige POST-forespørgsler til menu-listing-layout-siden.
  5. Aktivér en WAF — overvej at aktivere en webapplikationsfirewall (et filter der blokerer ondsindet trafik) hos din webhost eller via en tjeneste som Cloudflare.
  6. Informér din DPO — hvis du behandler persondata (f.eks. reservationer), skal du vurdere, om et eventuelt databrud skal anmeldes til Datatilsynet inden for 72 timer.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer vRestaurant-komponenten på din Joomla-side, indtil en officiel rettelse er tilgængelig. Kontakt din webmaster eller IT-leverandør i dag og bed dem gennemgå logfiler for tegn på uautoriseret adgang. Har du mistanke om, at data allerede er kompromitteret, skal du handle efter din GDPR-beredskabsplan og eventuelt anmelde hændelsen til Datatilsynet.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
CVE-2019-25754 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 8,2 (alvorlig).
19/06/2026
Tekniske detaljer tilgængelige
Sårbarheden blev beskrevet offentligt med detaljer om angrebsvektoren, herunder det sårbare keysearch-parameter og menu-listing-layout-endpointet, hvilket gør det let for angribere at efterligne angrebet.
19/06/2026
Ingen officiel patch tilgængelig
På offentliggørelsestidspunktet er der ikke udgivet en officiel opdatering eller rettelse til vRestaurant 1.9.4. Brugere anbefales at deaktivere komponenten som midlertidig foranstaltning.

Konkrete eksempler

Automatiseret databaseudtræk via søgefelt

En angriber bruger et automatiseret SQL-injektionsværktøj som sqlmap og retter det mod din Joomla-sides menulisteside. Inden for få minutter har værktøjet kortlagt hele din database og hentet navne, e-mailadresser og hashede adgangskoder på alle dine Joomla-administratorer — uden at der kræves et enkelt login. Angriberen kan derefter forsøge at knække adgangskoderne og overtage din hjemmeside fuldstændigt.

Datatyveri af kundeoplysninger og reservationer

En konkurrent eller kriminel aktør sender en særligt udformet POST-forespørgsel til din restaurants hjemmeside og udtrækker alle gæsteoplysninger fra din reservationsdatabase — herunder navne, telefonnumre og e-mailadresser. Disse data kan sælges videre på det mørke internet eller bruges til phishing-angreb (bedrageri via falske e-mails) mod dine kunder.

Forberedelse til ransomware-angreb

En avanceret angriber bruger SQL-injektionen til at kortlægge din hjemmesides databasestruktur og finde loginoplysninger til backend-systemer. Med disse oplysninger i hånden forsøger angriberen at eskalere adgangen til din webserver, hvorfra der kan installeres ransomware (software der krypterer dine filer og kræver løsesum). Det hele starter med et enkelt ondsindet søgeord i menufeltet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla Component vRestaurant 1.9.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the keysearch parameter. Attackers can send POST requests to the menu-listing-layout endpoint with crafted SQL payloads in the keysearch parameter to extract database table names and sensitive information from the database.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25754
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.