CVE-2019-25757: SQL-injektion i Joomla vWishlist
SQL-injektionsfejl i Joomla-tilføjelsen vWishlist giver indloggede angribere adgang til din database.
Hvad er det?
CVE-2019-25757 er en sikkerhedsfejl i Joomla-tilføjelsen (plugin) vWishlist version 1.0.1. Fejlen er en såkaldt SQL-injektion, hvilket betyder, at en angriber kan sende ondsindet kode til din hjemmeside, der snyder systemet til at afsløre indhold fra din database. Angriberen behøver blot at være logget ind som en almindelig bruger — ingen administratorrettigheder kræves. Selve angrebet sker via to parametre kaldet vproductid og userid, som tilføjelsen bruger til at håndtere ønskelister.
Hvem rammer det?
Fejlen rammer dig, hvis din virksomheds hjemmeside:
- Er bygget på Joomla (et populært webstedsystem)
- Bruger tilføjelsen vWishlist i version 1.0.1
- Tillader brugere at oprette konti og logge ind
Webshops og foreningssider med ønskelistefunktion er særligt udsatte, da disse typisk har mange registrerede brugere.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Læse fortrolige data fra din database — fx kundeoplysninger, e-mailadresser og ordrehistorik
- Kortlægge din databasestruktur, hvilket gør det nemmere at planlægge yderligere angreb
- Potentielt tilgå adgangskoder, hvis disse er gemt usikkert
Fejlen påvirker primært fortrolighed (dataadgang). Der er begrænset risiko for, at data slettes eller ændres, men datalæk alene kan have alvorlige konsekvenser under GDPR.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7,1 ud af 10 (Alvorlig) ifølge den internationale CVSS-skala. Angrebet kan udføres over internettet uden teknisk kompleksitet, og angriberen behøver kun en almindelig brugerkonto. Det gør fejlen let at misbruge. At angrebet ikke kræver administratoradgang eller særlig teknisk viden hæver risikoen markant for virksomheder med offentlig brugerregistrering.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret gør:
- Find ud af om du bruger vWishlist: Log ind på dit Joomla-kontrolpanel og gå til ‘Udvidelser’ → ‘Administrer’. Søg efter vWishlist og tjek versionen.
- Tjek om der er en opdatering: Gå til udviklernes hjemmeside eller Joomla Extension Directory for at se om der er en ny version tilgængelig.
- Deaktivér tilføjelsen midlertidigt, hvis der ikke er en opdatering, indtil en løsning foreligger.
- Gennemgå brugerlogfiler for usædvanlig aktivitet — særligt POST-forespørgsler til vWishlist-komponenten.
- Kontakt din webbureau eller IT-leverandør og bed dem gennemgå situationen og implementere en løsning.
- Overvej GDPR-anmeldelse, hvis du har mistanke om at data allerede er tilgået uretmæssigt — fristen er 72 timer til Datatilsynet.
Handl inden for 7 dage
Vi anbefaler, at du straks deaktiverer vWishlist-tilføjelsen, hvis du ikke kan bekræfte at en sikret version er tilgængelig. SQL-injektionsfejl af denne type er velkendte og relativt nemme at udnytte for angribere med selv begrænset teknisk viden. Kontakt din webpartner i dag og få klarlagt om din installation er sårbar — og om der er spor af, at nogen allerede har forsøgt at udnytte fejlen.
Tidslinje
Konkrete eksempler
Kundedata stjålet fra webshop
En angriber opretter en gratis kundekonto i din Joomla-baserede webshop og tilgår ønskeliste-funktionen drevet af vWishlist. Via et automatiseret script sender angriberen særligt udformede POST-forespørgsler med SQL-kode i produktid-feltet. Systemet returnerer navne, e-mailadresser og ordrehistorik for alle dine kunder — data angriberen kan sælge eller bruge til phishing.
Kortlægning af databasestruktur til videre angreb
En angriber bruger SQL-injektionsfejlen til at hente navnene på alle tabeller i din database. Med denne viden ved angriberen præcis hvor brugernavne og adgangskoder er gemt, og kan målrette et mere avanceret angreb for at kompromittere administratorkontoen og overtage hele hjemmesiden.
Automatiseret masseudnyttelse via scanner
Umiddelbart efter CVE-offentliggørelsen begynder automatiserede scanningsværktøjer at søge internettet for Joomla-sider med vWishlist installeret. Angribere behøver ikke at kende din virksomhed — de finder dig automatisk. Sårbare hjemmesider uden aktiv overvågning opdager først angrebet uger eller måneder senere, typisk ved et databrud.
Ofte stillede spørgsmål
Hvad er SQL-injektion?
SQL-injektion er en af de ældste og mest udbredte former for angreb mod hjemmesider. En angriber skriver ondsindet kode ind i et felt eller en forespørgsel, som hjemmesiden sender videre til databasen. Hvis hjemmesiden ikke tjekker inputtet ordentligt, tror databasen, at det er en legitim kommando og udfører den. Resultatet kan være, at angriberen kan læse, ændre eller slette data.
Skal man være administrator for at udnytte fejlen?
Nej. Det er præcis det, der gør denne fejl særligt bekymrende. En angriber behøver kun en helt almindelig brugerkonto på din hjemmeside — fx som kunde i din webshop. Derefter kan angrebet gennemføres uden yderligere privilegier.
Kan jeg se om nogen allerede har udnyttet fejlen?
Det kræver en gennemgang af din webservers logfiler. Du eller din IT-leverandør bør søge efter usædvanlige POST-forespørgsler til vWishlist-komponenten, særligt forespørgsler der indeholder SQL-nøgleord som UNION, SELECT eller —. Kontakt din webpartner for hjælp til denne analyse.
Hvad risikerer jeg under GDPR, hvis data er lækket?
Hvis persondata er tilgået uretmæssigt, er du som dataansvarlig forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer. Undlader du det, kan det resultere i bøder. Datatilsynet vurderer efterfølgende, om de berørte personer også skal underrettes. Få juridisk rådgivning hvis du er i tvivl.
Bruges vWishlist særligt meget i Danmark?
vWishlist er en tilføjelse til Joomla, der bruges globalt. Joomla er et populært CMS (hjemmesidesystem) i Danmark, særligt hos foreninger, mindre webshops og kommunikationsvirksomheder. Hvis du ikke ved om du bruger det, kan din webbureau eller IT-leverandør hurtigt afklare det for dig.
Er der en officiel patch tilgængelig?
På tidspunktet for offentliggørelsen af sårbarheden er der ikke bekræftet en officiel opdatering fra udviklerne. Det anbefales at deaktivere tilføjelsen midlertidigt og løbende holde øje med Joomla Extension Directory for opdateringer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla vWishlist 1.0.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the vproductid and userid parameters. Attackers can send POST requests to the component with crafted SQL payloads in these parameters to extract sensitive database information including version and database names.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
