CVE-2026-12175: SQL-injektion i CodeAstro fraværssystem
SQL-injektionsfejl i CodeAstro elevfraværssystem giver angribere med adminadgang mulighed for at manipulere databasen.
Hvad er det?
En sikkerhedsforsker har fundet en fejl i webapplikationen CodeAstro Student Attendance Management System version 1.0. Fejlen er en såkaldt SQL-injektion (en metode hvor en angriber snyder systemet til at udføre uautoriserede databasekommandoer) i den side, der bruges til at oprette nye elever. Konkret kan en angriber manipulere feltet "admissionNumber" (optagelsesnummer) og dermed sende skadelige kommandoer direkte til systemets database. Fejlen er offentligt kendt, og en fungerende angrebsmetode er tilgængelig online.
Hvem rammer det?
Sårbarheden rammer virksomheder og institutioner — typisk skoler, uddannelsescentre eller kursusvirksomheder — der bruger CodeAstro Student Attendance Management System version 1.0 til at administrere elevfremmøde. For at udnytte fejlen skal angriberen have administratoradgang til systemet, hvilket begrænser risikoen noget, men ikke eliminerer den. Hvis en administratorkonto er kompromitteret eller deles med mange, stiger risikoen markant.
Hvad kan ske?
En angriber med administratoradgang kan udnytte fejlen til at:
- Læse følsomme data fra databasen, f.eks. elevoplysninger og kontaktdata.
- Ændre eller slette data i systemet, f.eks. fremmøderegistreringer.
- Forstyrre systemets tilgængelighed, så det ikke fungerer som forventet.
Konsekvenserne vurderes som begrænsede på fortrolighed, integritet og tilgængelighed — men et databrud med personoplysninger om elever kan stadig have juridiske følger under GDPR.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 4.7 ud af 10 (Moderat). Det kræver, at angriberen allerede har administratoradgang til systemet — det er en vigtig begrænsning. Angriberen behøver dog ikke fysisk adgang; angrebet kan gennemføres over internettet. Det faktum, at en offentlig exploit (angrebskode) allerede er tilgængelig, løfter den praktiske risiko en smule, selv om den tekniske score er moderat. Samlet set er det ikke en kritisk brandslukningssituation, men det bør håndteres inden for rimelig tid.
Hvad gør jeg nu?
Følg disse trin for at reducere risikoen hurtigst muligt:
- Kortlæg brug: Find ud af, om din organisation bruger CodeAstro Student Attendance Management System version 1.0.
- Begræns adgang: Sørg for, at kun nødvendige personer har administratoradgang til systemet. Skift adgangskoder til stærke og unikke koder.
- Tjek for opdatering: Kontakt leverandøren CodeAstro eller tjek deres hjemmeside for en patchet version af systemet.
- Begræns netværksadgang: Hvis systemet ikke behøver at være tilgængeligt fra internettet, så placer det bag en firewall eller VPN.
- Overvåg logfiler: Gennemgå systemets adgangslogfiler for mistænkelig aktivitet, særligt i administratorpanelet.
- Vurder GDPR-forpligtelse: Hvis persondata om elever kan være blevet kompromitteret, kontakt din databeskyttelsesrådgiver og vurder, om der er anmeldelsespligt til Datatilsynet.
Håndtér inden for 30 dage
Vi anbefaler, at du straks begrænser adgangen til administratorpanelet i CodeAstro-systemet og skifter alle administratoradgangskoder. Tjek hos leverandøren, om der er udgivet en opdateret version, der lukker hullet. Indtil en officiel patch foreligger, bør systemet ikke være direkte tilgængeligt fra internettet uden beskyttelse. Kontakt os gerne, hvis du er i tvivl om, hvordan du bedst sikrer dit system.
Tidslinje
Konkrete eksempler
Angriber udtrækker elevdata fra databasen
En angriber får fat i en administratorkonto — f.eks. via et phishing-angreb (svindel-e-mail) eller et svagt kodeord. Angriberen logger ind på systemet og åbner siden til oprettelse af nye elever. I feltet "admissionNumber" indtaster angriberen en særligt udformet SQL-kommando i stedet for et normalt optagelsesnummer. Systemet sender kommandoen videre til databasen, og angriberen modtager en liste over alle elevers navne, kontaktoplysninger og fremmødehistorik.
Angriber sletter eller manipulerer fremmøderegistreringer
Med den samme SQL-injektionsteknik kan en angriber sende kommandoer, der ændrer eller sletter fremmøderegistreringer i databasen. Det kan f.eks. bruges til at skjule en elevs fravær, forfalske data eller i værste fald gøre hele fraværsdatabasen ubrugelig — med forstyrrende konsekvenser for den daglige drift.
Insider-trussel fra misfornøjet medarbejder
En medarbejder med legitim administratoradgang — f.eks. en IT-ansvarlig eller en administrativ medarbejder der er ved at fratræde — udnytter fejlen bevidst til at eksportere eller ødelægge data, inden de forlader organisationen. Dette eksempel understreger, at truslen ikke kun kommer udefra, og at princippet om mindste privilegium (at kun give adgang til det strengt nødvendige) er afgørende.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en angriber indsætter skadelige databasekommandoer i et inputfelt — f.eks. et søgefelt eller en formular. Hvis systemet ikke filtrerer input korrekt, vil databasen udføre kommandoerne, hvilket kan give angriberen adgang til at læse, ændre eller slette data. Det er en af de mest udbredte typer websårbarheder.
Er vi i fare, hvis vi bruger CodeAstro til andet end skoler?
Sårbarheden er specifik for CodeAstro Student Attendance Management System version 1.0, uanset hvilken type institution der bruger det. Hvis I anvender netop dette system i version 1.0, er I potentielt sårbare. Bruger I en nyere version eller et andet produkt fra leverandøren, bør I stadig tjekke, om det er berørt.
Kræver angrebet, at hackeren er på vores netværk?
Nej. Angrebet kan gennemføres over internettet, så længe systemet er tilgængeligt online. Angriberen skal dog have en gyldig administratorkonto. Det understreger vigtigheden af stærke, unikke adgangskoder og begrænset adgang til administratorpanelet.
Skal vi anmelde et eventuelt databrud til Datatilsynet?
Under GDPR har I pligt til at anmelde et databrud til Datatilsynet inden for 72 timer, hvis bruddet sandsynligvis medfører en risiko for de registrerede personers rettigheder. Oplysninger om elever — f.eks. navne, fremmødedata og kontaktoplysninger — er persondata. Hvis I har mistanke om, at data er blevet tilgået uden tilladelse, bør I straks kontakte jeres databeskyttelsesrådgiver.
Hvornår forventes en officiel patch?
På nuværende tidspunkt er der ikke offentliggjort en officiel patch fra CodeAstro. Vi anbefaler, at I holder øje med leverandørens hjemmeside og officielle kanaler. I mellemtiden bør I implementere de midlertidige beskyttelsesforanstaltninger beskrevet ovenfor.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A vulnerability was detected in CodeAstro Student Attendance Management System 1.0. Impacted is an unknown function of the file /attendance-php/Admin/createStudents.php. Performing a manipulation of the argument admissionNumber results in sql injection. Remote exploitation of the attack is possible. The exploit is now public and may be used.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
