CVE-2019-25757
Alvorlig

CVE-2019-25757: SQL-injektion i Joomla vWishlist

SQL-injektionsfejl i Joomla-tilføjelsen vWishlist giver indloggede angribere adgang til din database.

CVSS Score
7.1
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 7 dage

Hvad er det?

CVE-2019-25757 er en sikkerhedsfejl i Joomla-tilføjelsen (plugin) vWishlist version 1.0.1. Fejlen er en såkaldt SQL-injektion, hvilket betyder, at en angriber kan sende ondsindet kode til din hjemmeside, der snyder systemet til at afsløre indhold fra din database. Angriberen behøver blot at være logget ind som en almindelig bruger — ingen administratorrettigheder kræves. Selve angrebet sker via to parametre kaldet vproductid og userid, som tilføjelsen bruger til at håndtere ønskelister.

Hvem rammer det?

Fejlen rammer dig, hvis din virksomheds hjemmeside:

  • Er bygget på Joomla (et populært webstedsystem)
  • Bruger tilføjelsen vWishlist i version 1.0.1
  • Tillader brugere at oprette konti og logge ind

Webshops og foreningssider med ønskelistefunktion er særligt udsatte, da disse typisk har mange registrerede brugere.

Hvad kan ske?

En angriber, der udnytter fejlen, kan:

  • Læse fortrolige data fra din database — fx kundeoplysninger, e-mailadresser og ordrehistorik
  • Kortlægge din databasestruktur, hvilket gør det nemmere at planlægge yderligere angreb
  • Potentielt tilgå adgangskoder, hvis disse er gemt usikkert

Fejlen påvirker primært fortrolighed (dataadgang). Der er begrænset risiko for, at data slettes eller ændres, men datalæk alene kan have alvorlige konsekvenser under GDPR.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7,1 ud af 10 (Alvorlig) ifølge den internationale CVSS-skala. Angrebet kan udføres over internettet uden teknisk kompleksitet, og angriberen behøver kun en almindelig brugerkonto. Det gør fejlen let at misbruge. At angrebet ikke kræver administratoradgang eller særlig teknisk viden hæver risikoen markant for virksomheder med offentlig brugerregistrering.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du konkret gør:

  1. Find ud af om du bruger vWishlist: Log ind på dit Joomla-kontrolpanel og gå til ‘Udvidelser’ → ‘Administrer’. Søg efter vWishlist og tjek versionen.
  2. Tjek om der er en opdatering: Gå til udviklernes hjemmeside eller Joomla Extension Directory for at se om der er en ny version tilgængelig.
  3. Deaktivér tilføjelsen midlertidigt, hvis der ikke er en opdatering, indtil en løsning foreligger.
  4. Gennemgå brugerlogfiler for usædvanlig aktivitet — særligt POST-forespørgsler til vWishlist-komponenten.
  5. Kontakt din webbureau eller IT-leverandør og bed dem gennemgå situationen og implementere en løsning.
  6. Overvej GDPR-anmeldelse, hvis du har mistanke om at data allerede er tilgået uretmæssigt — fristen er 72 timer til Datatilsynet.
Tidsfrist

Handl inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer vWishlist-tilføjelsen, hvis du ikke kan bekræfte at en sikret version er tilgængelig. SQL-injektionsfejl af denne type er velkendte og relativt nemme at udnytte for angribere med selv begrænset teknisk viden. Kontakt din webpartner i dag og få klarlagt om din installation er sårbar — og om der er spor af, at nogen allerede har forsøgt at udnytte fejlen.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2019-25757 blev officielt registreret i National Vulnerability Database (NVD) og gjort offentligt tilgængeligt. Sårbarheden i vWishlist 1.0.1 er nu kendt af sikkerhedsforskere og potentielle angribere verden over.
19/06/2026
Tekniske detaljer tilgængelige
Samtidig med offentliggørelsen fremgår de specifikke angrebsparametre (vproductid og userid) af CVE-beskrivelsen, hvilket gør det relativt nemt for angribere at konstruere et angreb mod sårbare installationer.
19/06/2026
Ingen patch bekræftet
På offentliggørelsestidspunktet er der ikke verificeret en opdateret version af vWishlist. Brugere af version 1.0.1 er fortsat eksponerede og bør overveje at deaktivere tilføjelsen.

Konkrete eksempler

Kundedata stjålet fra webshop

En angriber opretter en gratis kundekonto i din Joomla-baserede webshop og tilgår ønskeliste-funktionen drevet af vWishlist. Via et automatiseret script sender angriberen særligt udformede POST-forespørgsler med SQL-kode i produktid-feltet. Systemet returnerer navne, e-mailadresser og ordrehistorik for alle dine kunder — data angriberen kan sælge eller bruge til phishing.

Kortlægning af databasestruktur til videre angreb

En angriber bruger SQL-injektionsfejlen til at hente navnene på alle tabeller i din database. Med denne viden ved angriberen præcis hvor brugernavne og adgangskoder er gemt, og kan målrette et mere avanceret angreb for at kompromittere administratorkontoen og overtage hele hjemmesiden.

Automatiseret masseudnyttelse via scanner

Umiddelbart efter CVE-offentliggørelsen begynder automatiserede scanningsværktøjer at søge internettet for Joomla-sider med vWishlist installeret. Angribere behøver ikke at kende din virksomhed — de finder dig automatisk. Sårbare hjemmesider uden aktiv overvågning opdager først angrebet uger eller måneder senere, typisk ved et databrud.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla vWishlist 1.0.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the vproductid and userid parameters. Attackers can send POST requests to the component with crafted SQL payloads in these parameters to extract sensitive database information including version and database names.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.1
Visning
Hurtige fakta
CVE-ID
CVE-2019-25757
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.