CVE-2023-54357
Alvorlig

CVE-2023-54357: Joomla com_booking lækker kundedata

Joomla-tilføjelsen com_booking 2.4.9 lækker navne, brugernavne og e-mails til alle uden login.

CVSS Score
7.5
Offentliggjort
19/06/2026
Patch-status
workaround
Exploit
poc_public
Tidsfrist
Opdatér inden for 48 timer

Hvad er det?

Com_booking er et tilføjelsesprogram (en såkaldt komponent) til hjemmesidesystemet Joomla, som bruges til at håndtere bookinger og reservationer. I version 2.4.9 er der en fejl, der gør det muligt for en angriber at hente personoplysninger om dine kunder — uden at være logget ind. Fejlen sidder i en funktion kaldet getUserData, som fejlagtigt svarer forskelligt afhængigt af, om en bruger-ID eksisterer eller ej. Det betyder, at en angriber systematisk kan prøve ID-numre ét efter ét og på den måde kortlægge hele din kundedatabase med navne, brugernavne og e-mailadresser. Fejltypen kaldes CWE-203 (observable response discrepancy — altså en målbar forskel i svar).

Hvem rammer det?

Sårbarheden rammer dig, hvis du driver en Joomla-hjemmeside med com_booking-komponenten i version 2.4.9 installeret og aktiveret. Det er typisk virksomheder inden for hotel, klinik, restaurant, udlejning eller andre brancher, der bruger Joomla til online booking. Der kræves ingen login eller særlige rettigheder for at udnytte fejlen — alle, der kan tilgå din hjemmeside, kan potentielt misbruge den.

Hvad kan ske?

En angriber kan automatisk trække navne, brugernavne og e-mailadresser ud på dine registrerede kunder. Disse oplysninger kan efterfølgende bruges til:

  • Målrettede phishing-angreb mod dine kunder i dit navn
  • Spam- og markedsføringskampagner uden samtykke
  • Forsøg på at overtage kundekonti ved at kombinere de fundne brugernavne med kendte adgangskoder (credential stuffing)
  • Brud på GDPR, hvis personoplysninger lækkes — med potentiel bødepålæggelse og anmeldelsespligt til Datatilsynet til følge

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.5 ud af 10 (Alvorlig) på den internationale CVSS-skala. Den er særligt bekymrende, fordi den kræver ingen teknisk viden, intet login og ingen brugerinteraktion — angriberen behøver blot at sende simple forespørgsler til din hjemmeside. Kun fortrolighed (C=HIGH) er påvirket: der slettes eller ændres ikke data, men eksponeringen af personoplysninger er alvorlig nok i sig selv, særligt i lyset af GDPR-kravene om beskyttelse af kundedata.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte dine kunder og din virksomhed:

  1. Tjek om du er berørt: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Find com_booking og kontrollér versionsnummeret. Er det 2.4.9, er du berørt.
  2. Opdatér komponenten: Undersøg om leverandøren af com_booking har udgivet en opdateret version, og installér den straks via Joomla’s opdateringsmanager.
  3. Midlertidig afhjælpning: Hvis ingen opdatering er tilgængelig, overvej at deaktivere komponenten midlertidigt, eller bloker adgang til den sårbare URL-sti (index.php?option=com_booking&controller=customer&task=getUserData) via din webservers firewall eller .htaccess-fil.
  4. Gennemgå adgangslogge: Bed din webhost eller IT-ansvarlige om at gennemgå serverlogge for usædvanlige mængder af GET-forespørgsler mod den nævnte URL — det kan afsløre om nogen allerede har forsøgt at udnytte fejlen.
  5. Vurdér GDPR-forpligtelse: Hvis du har grund til at tro, at kundedata allerede er blevet hentet, skal du overveje om du har pligt til at anmelde bruddet til Datatilsynet inden for 72 timer.
  6. Informér berørte kunder: Hvis data er blevet kompromitteret, bør du orientere de berørte kunder om hændelsen og de risici, de kan blive udsat for.
Tidsfrist

Opdatér inden for 48 timer

Sådan ser Auroa det

Sårbarheden er nem at udnytte og kræver ingen teknisk ekspertise — det gør den attraktiv for opportunistiske angribere. Vi anbefaler, at du straks undersøger om com_booking er installeret på din Joomla-side, og enten opdaterer til en sikret version eller midlertidigt blokerer adgangen til den sårbare funktion. Kontakt din webmaster eller Auroa, hvis du er usikker på, hvordan du gennemfører disse trin.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
CVE-2023-54357 blev officielt registreret og offentliggjort i NVDs nationale sårbarhedsdatabase med en CVSS-score på 7.5 (Alvorlig).
19/06/2026
Sårbarhedsdetaljer tilgængelige
Den tekniske beskrivelse af, hvordan getUserData-funktionen kan misbruges via simple GET-forespørgsler, blev offentliggjort — hvilket potentielt giver angribere et vejledningsdokument.
19/06/2026
Ingen officiel patch bekræftet
På offentliggørelsestidspunktet er der endnu ikke bekræftet en officiel opdateret version af com_booking. Midlertidige workarounds anbefales, mens man afventer leverandørens reaktion.
21/06/2026
Anbefalet reaktionsfrist
Auroa anbefaler, at alle berørte virksomheder senest to dage efter offentliggørelsen har implementeret en midlertidig blokering eller deaktivering af den sårbare komponent.

Konkrete eksempler

Automatisk høst af kundedata

En angriber skriver et simpelt script, der sender tusindvis af forespørgsler til din hjemmeside med stigende id-værdier: id=1, id=2, id=3 osv. For hvert gyldigt ID returnerer serveren navn, brugernavn og e-mailadresse på den tilsvarende kunde. På under en time kan angriberen have kompileret en komplet liste over alle dine registrerede kunder — uden nogensinde at have logget ind.

Phishing-kampagne i dit navn

Med en liste over dine kunders navne og e-mailadresser sender en angriber målrettede phishing-e-mails, der ser ud til at komme fra din virksomhed. E-maillerne beder kunderne om at bekræfte en booking eller opdatere betalingsoplysninger via et falsk link. Fordi angriberen kender kundernes rigtige navne og ved, at de har brugt din service, virker beskeden troværdig.

Credential stuffing mod kundernes konti

Angriberen kombinerer de høstede brugernavne med kendte adgangskoder fra tidligere datalæk (tilgængeligt på det mørke net). Han afprøver systematisk disse kombinationer mod din Joomla-login-side. Kunder, der genbruger adgangskoder fra andre tjenester, risikerer at få deres konto overtaget — og angriberen får nu adgang til bookinghistorik og eventuelle gemte betalingsoplysninger.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-203

Original NVD-beskrivelse (engelsk)

Joomla com_booking component 2.4.9 contains an information disclosure vulnerability that allows unauthenticated attackers to enumerate user accounts by exploiting the getUserData function in the customer controller. Attackers can send GET requests to index.php with option=com_booking, controller=customer, task=getUserData, and an id parameter to retrieve user names, usernames, and email addresses through brute force enumeration.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2023-54357
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
workaround
Tidsfrist
Opdatér inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.