CVE-2019-25756
Alvorlig

CVE-2019-25756: SQL-fejl i Joomla vAccount 2.0.2

Kritisk SQL-fejl i Joomla-komponenten vAccount 2.0.2 giver hackere adgang til din database uden login.

CVSS Score
8.2
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handles inden for 24-48 timer

Hvad er det?

CVE-2019-25756 er en SQL-injektion (en angrebsmetode hvor en hacker sniger skadelig kode ind i databaseforespørgsler) i tilføjelseskomponenten vAccount 2.0.2 til Joomla!-hjemmesider. Fejlen sidder i et URL-parameter kaldet vid på siden vaccount-dashboard/expense. En angriber kan sende en simpel webforespørgsel med manipuleret indhold og dermed tvinge databasen til at udlevere følsomme oplysninger — uden at skulle logge ind eller have særlige rettigheder. Det kræver ingen teknisk forberedelse og kan udføres fra hvor som helst på internettet.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der driver en Joomla!-hjemmeside med komponenten vAccount i version 2.0.2 installeret. Det kan for eksempel være foreninger, webshops, konsulentfirmaer eller offentlige institutioner, der bruger vAccount til at håndtere økonomi eller udgifter direkte på hjemmesiden.

Hvad kan ske?

En angriber kan uden login læse indholdet af din database — herunder brugernavne, adgangskoder (evt. krypterede), kundedata og fortrolige forretningsoplysninger. Der er også en begrænset risiko for, at data kan manipuleres. Konkret kan det føre til:

  • Lækage af persondata, som kan udløse bødekrav under GDPR
  • Kompromitterede brugerkonti, hvis adgangskoder genbruges andre steder
  • Tab af fortrolige kundeoplysninger eller forretningshemmeligheder
  • Skade på virksomhedens omdømme og kundernes tillid

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,2 ud af 10 på den internationale CVSS-skala, hvilket klassificeres som alvorlig. Den scorer så højt, fordi:

  • Angrebet kan udføres over internettet uden login
  • Det kræver ingen teknisk kompleksitet
  • Fortrolige data kan stjæles direkte

Det er ikke nødvendigt for angriberen at have adgang til din hjemmeside i forvejen — en enkelt webanmodning er nok.

Hvad gør jeg nu?

Tjek om du bruger vAccount-komponenten på din Joomla!-hjemmeside, og tag følgende skridt:

  1. Identificér komponenten: Log ind i dit Joomla!-kontrolpanel og gå til Udvidelser → Administrer. Søg efter ‘vAccount’ og notér versionen.
  2. Deaktivér eller fjern komponenten midlertidigt: Hvis du kører version 2.0.2, deaktivér komponenten straks indtil en opdatering er tilgængelig.
  3. Kontakt din webmaster eller hostingudbyder: Bed dem bekræfte, om komponenten er sårbar, og om der er tegn på misbrug i serverlogfiler.
  4. Tjek for opdatering: Undersøg om udvikleren bag vAccount har udgivet en ny version og opdatér hurtigst muligt.
  5. Gennemgå adgangsdata: Skift adgangskoder til Joomla!-admin og databasen, særligt hvis du mistænker kompromittering.
Tidsfrist

Handles inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du deaktiverer vAccount-komponenten på din Joomla!-hjemmeside med det samme, hvis du kører version 2.0.2. Da der endnu ikke er udgivet en officiel opdatering, er deaktivering den mest effektive beskyttelse. Kontakt din webmaster eller et cybersikkerhedsfirma for at få gennemgået dine serverlogfiler og vurderet, om der allerede har været uautoriseret adgang til din database.

Tidslinje

19/06/2026
CVE offentliggjort
Sårbarheden CVE-2019-25756 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 8,2.
19/06/2026
Tekniske detaljer tilgængelige
Offentliggørelsen indeholdt konkrete tekniske detaljer om den sårbare URL-sti og det berørte parameter, hvilket gør det relativt nemt for angribere at reproducere angrebet.
19/06/2026
Ingen patch tilgængelig ved offentliggørelse
På tidspunktet for CVE-offentliggørelsen var der endnu ikke udgivet en opdatering fra udvikleren bag vAccount 2.0.2, hvilket efterlader brugere uden en direkte rettelse.

Konkrete eksempler

Automatiseret datahøst via simpel URL

En angriber besøger din Joomla!-hjemmeside og tilføjer en manipuleret SQL-kommando i URL’en til vAccount-dashboardet. Uden at logge ind modtager angriberen databasens version og navne retur i svaret fra hjemmesiden — som et første skridt i at kortlægge og tømme hele databasen for kundedata og loginoplysninger.

Automatiseret scanning på tværs af tusindvis af Joomla-sider

Hackere bruger automatiserede programmer (bots) til at scanne internettets Joomla!-hjemmesider for tilstedeværelsen af vAccount-komponenten. Hjemmesider der kører den sårbare version, markeres automatisk som mål og angribes systematisk — din virksomhed behøver altså ikke at være udpeget specifikt for at blive ramt.

Udtræk af krypterede adgangskoder til videre brug

Via SQL-injektionen henter en angriber listen over brugerkonti og deres krypterede adgangskoder fra databasen. Disse forsøges derefter knækket med specialværktøjer, og hvis brugerne genbruger samme adgangskode på f.eks. e-mail eller netbank, kan angrebet sprede sig langt ud over selve hjemmesiden.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component vAccount 2.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the vid parameter. Attackers can send GET requests to the vaccount-dashboard/expense endpoint with crafted SQL payloads in the vid parameter to extract sensitive database information including version and database names.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.2
Visning
Hurtige fakta
CVE-ID
CVE-2019-25756
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handles inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.