CVE-2019-25759: SQL-injektion i Joomla vBizz 1.0.7
SQL-injektionsfejl i Joomla-komponenten vBizz 1.0.7 giver indloggede angribere adgang til din database.
Hvad er det?
CVE-2019-25759 er en SQL-injektionssårbarhed (en teknik hvor en angriber smugler databasekommandoer ind via et inputfelt) i tilføjelseskomponenten vBizz version 1.0.7 til hjemmesidesystemet Joomla!. Fejlen sidder i det parameter, der hedder payid, i medarbejderstyringsdelen af komponenten. En angriber kan sende en særligt udformet forespørgsel til din hjemmeside og tvinge databasen til at udlevere følsomme oplysninger — for eksempel navne på databaser og deres indhold. Angrebet kræver, at angriberen har en brugerkonto på siden, men kræver ingen særlige administratorrettigheder.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en Joomla!-baseret hjemmeside med komponenten vBizz 1.0.7 installeret og aktiveret. vBizz er en komponent til håndtering af forretnings- og medarbejderdata, og bruges typisk af virksomheder, der har bygget et intranet eller kundeportal oven på Joomla!. Er du i tvivl om, hvorvidt du bruger vBizz, kan din webmaster eller IT-leverandør hurtigt tjekke det.
Hvad kan ske?
En angriber med en almindelig brugerkonto på din Joomla!-side kan udnytte fejlen til at trække data ud af din database. Det kan dreje sig om kundeoplysninger, medarbejderdata, loginoplysninger eller andre fortrolige informationer, du opbevarer i systemet. Angrebet efterlader muligvis ingen tydelige spor i normale logfiler, hvilket gør det svært at opdage. Der er ikke rapporteret om direkte mulighed for at slette eller ændre data via denne sårbarhed, men informationslækage alene kan have alvorlige konsekvenser — herunder brud på GDPR (persondataforordningen).
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.1 ud af 10, hvilket klassificeres som alvorlig. Angrebet kan udføres over internettet uden teknisk kompleksitet, og der kræves kun en lav adgangsniveau (en almindelig brugerkonto). Det er primært fortroligheden af dine data, der er i fare — risikoen for direkte ændring af data er lavere. Samlet set udgør det en reel og håndgribelig trussel, som bør tages alvorligt og udbedres hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside hurtigst muligt:
- Tjek om du bruger vBizz: Log ind på din Joomla!-backend og gå til Udvidelser → Administrer. Søg efter vBizz og notér versionsnummeret.
- Opdatér eller afinstallér komponenten: Undersøg om der er udgivet en opdateret version af vBizz, der adresserer denne sårbarhed. Hvis ikke, bør du deaktivere og afinstallere komponenten, indtil en sikkerhedsopdatering foreligger.
- Begræns adgang til siden: Hvis vBizz er nødvendig for din drift, så overvej midlertidigt at begrænse adgangen til medarbejderstyringsmodulet til kun kendte IP-adresser.
- Gennemgå brugerkonti: Sørg for at der kun er aktive brugerkonti til personer, der reelt har brug for adgang. Slet eller deaktivér ubrugte konti.
- Kontakt din webmaster eller IT-leverandør: Orientér dem om sårbarheden og bed dem bekræfte, at situationen er håndteret korrekt.
- Vurder om data kan være tilgået: Tjek serverlogfiler for usædvanlige POST-forespørgsler til medarbejderstyringsmodulet, og overvej om du har en anmeldelsespligt under GDPR.
Udbedres inden for 7 dage
Vi anbefaler, at du straks deaktiverer vBizz-komponenten, hvis du ikke har et akut behov for den, og at du kontakter din webmaster for at få bekræftet, at sårbarheden er lukket. Overvåg samtidig dine logfiler for tegn på, at angrebet allerede kan have fundet sted. Hvis du behandler persondata via Joomla!-løsningen, bør du også vurdere, om du har pligt til at anmelde et eventuelt databrud til Datatilsynet inden for 72 timer.
Tidslinje
Konkrete eksempler
Angriber udtrækker kundedatabase via medarbejdermodul
En angriber opretter en gratis brugerkonto på din Joomla!-hjemmeside og logger ind. Herefter sender de en manipuleret forespørgsel til medarbejderstyringsmodulet med SQL-kode gemt i payid-feltet. Databasen opfatter koden som en legitim kommando og returnerer navne på alle databaser samt indhold fra kundetabeller — uden at nogen alarm udløses.
Konkurrent får adgang til interne lønoplysninger
Hvis din vBizz-installation bruges til at håndtere løndata, kan en angriber med blot en medarbejderkonto bruge SQL-injektionen til at hente lønoplysninger, stillingsbetegnelser og personnumre fra databasen. Disse oplysninger kan sælges videre eller bruges til afpresning.
Forberedelse til større angreb
En angriber bruger fejlen til at kortlægge strukturen i din database — hvilke tabeller der findes, og hvilke oplysninger de indeholder. Disse informationer kan herefter bruges som afsæt for et mere målrettet angreb, for eksempel phishing af specifikke medarbejdere eller forsøg på at kompromittere administratorkonti.
Ofte stillede spørgsmål
Skal angriberen have adgang til min hjemmeside for at udnytte fejlen?
Ja — angriberen skal have en aktiv brugerkonto på din Joomla!-side. Det behøver dog ikke være en administratorkonto; en helt almindelig brugerkonto er nok. Derfor er det vigtigt at rydde op i ubrugte konti og sikre, at registrering af nye brugere er begrænset.
Kan mine kunders data være blevet stjålet?
Det kan vi ikke udelukke. Sårbarheden giver adgang til at hente oplysninger fra databasen, som kan indeholde kundedata. Vi anbefaler, at du gennemgår dine logfiler og kontakter en IT-sikkerhedsspecialist, der kan hjælpe med at vurdere, om et angreb har fundet sted.
Er der en officiel opdatering til vBizz, jeg kan installere?
På tidspunktet for offentliggørelsen af denne sårbarhed er der ikke bekræftet en officiel sikkerhedsopdatering til vBizz 1.0.7. Hold øje med komponentens officielle kanal for opdateringer, og overvej at deaktivere komponenten indtil da.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber ‘snyder’ et inputfelt på din hjemmeside til at sende databasekommandoer i stedet for normal tekst. Det er en af de ældste og mest udbredte angrebsmetoder, og kan bruges til at læse, ændre eller slette data i din database — afhængigt af fejlens omfang.
Gælder dette kun vBizz 1.0.7, eller er andre versioner også ramt?
Den kendte sårbarhed er dokumenteret i version 1.0.7 af vBizz. Det er ikke bekræftet, om andre versioner er berørt. Undersøg altid versionsnummeret på din installation, og hold dig opdateret via komponentens udgivelseskanal.
Har jeg pligt til at anmelde dette til Datatilsynet?
Hvis du har mistanke om, at persondata kan være blevet tilgået af uvedkommende, har du som udgangspunkt pligt til at anmelde bruddet til Datatilsynet inden for 72 timer efter du er blevet bekendt med det — dette følger af GDPR. Kontakt en juridisk rådgiver eller din databeskyttelsesrådgiver (DPO) for konkret vejledning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component vBizz 1.0.7 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the payid parameter. Attackers can submit POST requests to the employee management interface with crafted payid array values containing SQL commands to extract sensitive database information including version and database names.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
