CVE-2019-25759
Alvorlig

CVE-2019-25759: SQL-injektion i Joomla vBizz 1.0.7

SQL-injektionsfejl i Joomla-komponenten vBizz 1.0.7 giver indloggede angribere adgang til din database.

CVSS Score
7.1
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Udbedres inden for 7 dage

Hvad er det?

CVE-2019-25759 er en SQL-injektionssårbarhed (en teknik hvor en angriber smugler databasekommandoer ind via et inputfelt) i tilføjelseskomponenten vBizz version 1.0.7 til hjemmesidesystemet Joomla!. Fejlen sidder i det parameter, der hedder payid, i medarbejderstyringsdelen af komponenten. En angriber kan sende en særligt udformet forespørgsel til din hjemmeside og tvinge databasen til at udlevere følsomme oplysninger — for eksempel navne på databaser og deres indhold. Angrebet kræver, at angriberen har en brugerkonto på siden, men kræver ingen særlige administratorrettigheder.

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en Joomla!-baseret hjemmeside med komponenten vBizz 1.0.7 installeret og aktiveret. vBizz er en komponent til håndtering af forretnings- og medarbejderdata, og bruges typisk af virksomheder, der har bygget et intranet eller kundeportal oven på Joomla!. Er du i tvivl om, hvorvidt du bruger vBizz, kan din webmaster eller IT-leverandør hurtigt tjekke det.

Hvad kan ske?

En angriber med en almindelig brugerkonto på din Joomla!-side kan udnytte fejlen til at trække data ud af din database. Det kan dreje sig om kundeoplysninger, medarbejderdata, loginoplysninger eller andre fortrolige informationer, du opbevarer i systemet. Angrebet efterlader muligvis ingen tydelige spor i normale logfiler, hvilket gør det svært at opdage. Der er ikke rapporteret om direkte mulighed for at slette eller ændre data via denne sårbarhed, men informationslækage alene kan have alvorlige konsekvenser — herunder brud på GDPR (persondataforordningen).

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.1 ud af 10, hvilket klassificeres som alvorlig. Angrebet kan udføres over internettet uden teknisk kompleksitet, og der kræves kun en lav adgangsniveau (en almindelig brugerkonto). Det er primært fortroligheden af dine data, der er i fare — risikoen for direkte ændring af data er lavere. Samlet set udgør det en reel og håndgribelig trussel, som bør tages alvorligt og udbedres hurtigt.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside hurtigst muligt:

  1. Tjek om du bruger vBizz: Log ind på din Joomla!-backend og gå til Udvidelser → Administrer. Søg efter vBizz og notér versionsnummeret.
  2. Opdatér eller afinstallér komponenten: Undersøg om der er udgivet en opdateret version af vBizz, der adresserer denne sårbarhed. Hvis ikke, bør du deaktivere og afinstallere komponenten, indtil en sikkerhedsopdatering foreligger.
  3. Begræns adgang til siden: Hvis vBizz er nødvendig for din drift, så overvej midlertidigt at begrænse adgangen til medarbejderstyringsmodulet til kun kendte IP-adresser.
  4. Gennemgå brugerkonti: Sørg for at der kun er aktive brugerkonti til personer, der reelt har brug for adgang. Slet eller deaktivér ubrugte konti.
  5. Kontakt din webmaster eller IT-leverandør: Orientér dem om sårbarheden og bed dem bekræfte, at situationen er håndteret korrekt.
  6. Vurder om data kan være tilgået: Tjek serverlogfiler for usædvanlige POST-forespørgsler til medarbejderstyringsmodulet, og overvej om du har en anmeldelsespligt under GDPR.
Tidsfrist

Udbedres inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer vBizz-komponenten, hvis du ikke har et akut behov for den, og at du kontakter din webmaster for at få bekræftet, at sårbarheden er lukket. Overvåg samtidig dine logfiler for tegn på, at angrebet allerede kan have fundet sted. Hvis du behandler persondata via Joomla!-løsningen, bør du også vurdere, om du har pligt til at anmelde et eventuelt databrud til Datatilsynet inden for 72 timer.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2019-25759 blev officielt offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 7.1 og klassificeret som alvorlig.
19/06/2026
Tekniske detaljer tilgængelige
Offentliggørelsen inkluderede konkrete tekniske detaljer om, hvordan angrebet udføres via payid-parametret — hvilket gør det muligt for angribere at konstruere angreb baseret på den offentlige information.
19/06/2026
Ingen officiel patch tilgængelig
På offentliggørelsesdatoen er der ikke bekræftet en officiel sikkerhedsopdatering fra vBizz-udviklerne. Situationen bør overvåges løbende.

Konkrete eksempler

Angriber udtrækker kundedatabase via medarbejdermodul

En angriber opretter en gratis brugerkonto på din Joomla!-hjemmeside og logger ind. Herefter sender de en manipuleret forespørgsel til medarbejderstyringsmodulet med SQL-kode gemt i payid-feltet. Databasen opfatter koden som en legitim kommando og returnerer navne på alle databaser samt indhold fra kundetabeller — uden at nogen alarm udløses.

Konkurrent får adgang til interne lønoplysninger

Hvis din vBizz-installation bruges til at håndtere løndata, kan en angriber med blot en medarbejderkonto bruge SQL-injektionen til at hente lønoplysninger, stillingsbetegnelser og personnumre fra databasen. Disse oplysninger kan sælges videre eller bruges til afpresning.

Forberedelse til større angreb

En angriber bruger fejlen til at kortlægge strukturen i din database — hvilke tabeller der findes, og hvilke oplysninger de indeholder. Disse informationer kan herefter bruges som afsæt for et mere målrettet angreb, for eksempel phishing af specifikke medarbejdere eller forsøg på at kompromittere administratorkonti.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Joomla! Component vBizz 1.0.7 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the payid parameter. Attackers can submit POST requests to the employee management interface with crafted payid array values containing SQL commands to extract sensitive database information including version and database names.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.1
Visning
Hurtige fakta
CVE-ID
CVE-2019-25759
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Udbedres inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.