CVE-2019-25762
Alvorlig

CVE-2019-25762: Joomla JoomProject lækker brugerdata

Joomla-tilføjelsesprogrammet JoomProject lækker brugerdata til alle – uden adgangskode eller login.

CVSS Score
7.5
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2019-25762 er en sikkerhedssårbarhed i tilføjelsesprogrammet (komponenten) JoomProject version 1.1.3.2 til hjemmesidesystemet Joomla!. Sårbarheden betyder, at hvem som helst på internettet kan sende en særligt udformet forespørgsel til din hjemmeside og få udleveret en liste over brugernes ID’er, navne og e-mailadresser – alt sammen i et maskinlæsbart format kaldet JSON. Der kræves ingen adgangskode, ingen konto og ingen særlig teknisk viden for at udnytte fejlen.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der driver en hjemmeside bygget på Joomla! og har installeret komponenten JoomProject i version 1.1.3.2. Det kan fx være virksomheder, foreninger eller offentlige institutioner, der bruger JoomProject til at vise projekter eller kundeoversigter på deres hjemmeside.

Hvad kan ske?

En angriber kan uden videre hente en liste over alle registrerede brugere på din hjemmeside – komplet med navne og e-mailadresser. Disse oplysninger kan misbruges til:

  • Målrettede phishing-angreb (bedrageri-e-mails der udgiver sig for at komme fra dig)
  • Spam og uønsket markedsføring rettet mod dine kunder eller medarbejdere
  • Videresalg af persondata på kriminelle markedspladser
  • Brud på GDPR, da persondata er tilgængeligt uden samtykke eller sikring

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.5 ud af 10, hvilket klassificeres som alvorlig. Den er særligt bekymrende fordi:

  • Angrebet kan udføres fra hele internettet uden login
  • Det kræver ingen teknisk kompleksitet at udnytte
  • Dine brugeres persondata kan kompromitteres uden at du opdager det
  • Konsekvenserne kan inkludere bøder efter GDPR-reglerne (databeskyttelsesforordningen)

Fortrolighed er højt påvirket, mens selve hjemmesidens drift ikke direkte forstyrres.

Hvad gør jeg nu?

Handl hurtigt for at beskytte dine brugeres persondata. Gør følgende:

  1. Tjek om du bruger JoomProject: Log ind i din Joomla-adminpanel og gå til Udvidelser → Administrer. Se om JoomProject er installeret og aktiv.
  2. Deaktiver komponenten midlertidigt: Hvis du finder JoomProject, deaktiver den straks indtil en opdatering eller alternativ løsning er på plads.
  3. Kontakt din webudvikler eller hostingudbyder: Bed dem undersøge om den sårbare URL (index.php?option=com_jpprojects&view=projects&tmpl=component&format=json) er tilgængelig udefra og bloker den eventuelt via serveren.
  4. Vurder om data er blevet lækket: Gennemgå dine serverlogfiler for usædvanlige forespørgsler til ovenstående URL. Kontakt eventuelt en IT-sikkerhedsrådgiver.
  5. Overvej din GDPR-forpligtelse: Hvis persondata kan have været tilgængeligt, skal du vurdere om det udløser en anmeldelsespligt til Datatilsynet inden for 72 timer.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer JoomProject-komponenten, hvis den er installeret på din Joomla-hjemmeside. Da der ikke er en officiel opdatering tilgængelig, er deaktivering den sikreste løsning lige nu. Få din webudvikler til at blokere adgangen til den sårbare URL på serverniveau, og sørg for at vurdere om persondata kan være blevet tilgået – det kan have betydning for din GDPR-overholdelse.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2019-25762 bliver officielt registreret og offentliggjort i den amerikanske National Vulnerability Database (NVD) med en alvorlighedsscore på 7.5.
19/06/2026
Teknisk detalje offentliggjort
Den præcise URL og de parametre, der kan misbruges til at hente brugerdata, er beskrevet offentligt i CVE-beskrivelsen, hvilket gør det nemt for angribere at udnytte sårbarheden.
19/06/2026
Ingen patch tilgængelig
På offentliggørelsestidspunktet er der ikke udgivet en opdatering til JoomProject, der lukker sikkerhedshullet. Brugere opfordres til at deaktivere komponenten.

Konkrete eksempler

Automatiseret høst af e-mailadresser

En angriber skriver et simpelt script, der sender forespørgsler til din hjemmeside via den sårbare URL og automatisk indsamler alle brugeres navne og e-mailadresser. På få minutter har angriberen en komplet liste, som kan sælges til spammere eller bruges til målrettede phishing-angreb mod dine kunder – uden at du eller dine brugere opdager noget.

Phishing-angreb mod dine kunder

Med en liste over dine kunders navne og e-mailadresser sender en angriber troværdigt udseende e-mails, der udgiver sig for at komme fra din virksomhed. E-mailene beder modtagerne om at klikke på et link og opdatere deres betalingsoplysninger. Fordi angriberen kender modtagerens fulde navn og ved, at de er kunder hos dig, er e-mailene meget overbevisende.

GDPR-anmeldelse efter datahøst

En konkurrent eller ondsindet aktør henter listen over alle registrerede brugere på din Joomla-side og anmelder bruddet anonymt til Datatilsynet. Din virksomhed opdager først problemet, når Datatilsynet kontakter jer med spørgsmål om et muligt databrud – og I har ikke nogen logfiler, der kan afklare omfanget. Det medfører en tidskrævende og potentielt kostbar tilsynssag.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-359

Original NVD-beskrivelse (engelsk)

Joomla! Component JoomProject 1.1.3.2 contains an information disclosure vulnerability that allows unauthenticated attackers to access sensitive user data by exploiting the projects endpoint. Attackers can send requests to index.php with option=com_jpprojects&view=projects&tmpl=component&format=json parameters to retrieve user IDs, names, and email addresses in JSON format.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2019-25762
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.