CVE-2026-34099
Kritisk

CVE-2026-34099: SQL-injektion i Guardian language-system

Kritisk SQL-fejl i Guardian language-system giver hackere fuld adgang til databasen uden login.

CVSS Score
9.8
Offentliggjort
01/07/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

Guardian language-system indeholder en alvorlig fejl i filen job_info.php. Systemet bruger direkte brugerinput fra web-adressen (en såkaldt GET-parameter) til at bygge en databaseforespørgsel — uden at tjekke eller rense inputtet først. Det kaldes SQL-injektion (en teknik hvor en angriber smugler skadelige kommandoer ind i en databaseforespørgsel). Resultatet er, at en angriber uden overhovedet at logge ind kan trække følsomme oplysninger ud af databasen, herunder brugeroplysninger, tabelindhold og systemkonfiguration.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der anvender Guardian language-system som en del af deres hjemmeside eller jobportal. Det kræver blot, at systemet er tilgængeligt fra internettet — ingen særlig konfiguration eller brugerkonto er nødvendig for at blive ramt. Særligt udsatte er virksomheder der bruger systemet til at vise jobopslag offentligt online.

Hvad kan ske?

En angriber kan udnytte fejlen til at:

  • Læse hele databaseindholdet — herunder persondata, adgangskoder og forretningskritiske oplysninger
  • Kortlægge systemets opbygning — hvilke tabeller og kolonner der findes, og hvilken databaseversion der kører
  • Identificere den aktive databasebruger — som muligvis har udvidede rettigheder der kan misbruges yderligere
  • I værste fald skrive til eller slette data — afhængigt af hvilke rettigheder databasebrugeren har

Angrebet kræver ingen forudgående adgang og kan udføres af stort set hvem som helst med basale tekniske kundskaber.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9,8 ud af 10 (Kritisk) på den internationale CVSS-skala (en standardiseret metode til at måle alvorlighed af sikkerhedsfejl). Den scorer maksimalt på næsten alle parametre: angrebet kommer over netværket, kræver ingen særlig viden, intet login og ingen handling fra dig eller dine ansatte. Konsekvenserne for fortrolighed, dataintegritet og systemtilgængelighed er alle vurderet som høje. Det er med andre ord en af de mest alvorlige typer sårbarheder, der findes.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du konkret gør:

  1. Kortlæg din eksponering: Find ud af om din virksomhed bruger Guardian language-system — spørg din IT-leverandør eller webmaster hvis du er usikker.
  2. Tag systemet offline midlertidigt: Hvis systemet er tilgængeligt fra internettet og der ikke findes en patch endnu, bør du overveje at tage den berørte side (job_info.php) midlertidigt ned eller blokere adgang til den via din firewall.
  3. Tjek for opdateringer: Kontakt leverandøren af Guardian language-system og spørg om der er udgivet en sikkerhedsopdatering. Installér den straks hvis den findes.
  4. Gennemgå dine logs: Bed din IT-ansvarlige om at gennemgå serverlogfiler for usædvanlige forespørgsler til job_info.php — det kan afsløre om nogen allerede har forsøgt et angreb.
  5. Skift adgangskoder: Hvis databasen kan have været tilgået, bør du skifte adgangskoder til alle systemer der deler legitimationsoplysninger med den berørte database.
  6. Anmeld brud på datasikkerhed: Hvis du har grund til at tro at persondata er tilgået, har du pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Vi anbefaler at du omgående kontakter din IT-leverandør og beder dem vurdere om jeres installation af Guardian language-system er sårbar. Indtil en officiel opdatering er tilgængelig, bør adgangen til den berørte fil blokeres via jeres webserver eller firewall. Denne type sårbarhed er nem at udnytte automatisk af scanning-værktøjer på internettet, så jo hurtigere du handler, jo bedre.

Tidslinje

01/07/2026
CVE offentliggjort
Sårbarheden CVE-2026-34099 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en kritisk CVSS-score på 9,8.
01/07/2026
Tekniske detaljer tilgængelige
Den præcise fejlplacering (job_info.php, linje 16) og den sårbare kode blev offentliggjort som en del af CVE-beskrivelsen, hvilket gør det muligt for angribere at reproducere fejlen uden yderligere analyse.
02/07/2026
Automatiserede scannere forventes aktive
Erfaringsmæssigt begynder automatiserede sårbarhedsscannere på internettet at afprøve kendte CVE'er inden for 24-72 timer efter offentliggørelse. Systemer der er eksponeret mod internettet er i særlig risiko i denne periode.
09/07/2026
Patch-status afventer
Der er endnu ikke bekræftet en officiel sikkerhedsopdatering fra leverandøren. Følg med hos producenten af Guardian language-system og instalér en opdatering straks når den foreligger.

Konkrete eksempler

Angriber læser hele jobdatabasen via web-adressen

En angriber besøger jeres jobportal og ændrer web-adressen fra job_info.php?id=5 til job_info.php?id=5′ UNION SELECT table_name,2,3,4 FROM information_schema.tables–. Systemet sender denne manipulerede forespørgsel direkte til databasen, som returnerer en liste over alle tabeller — inklusive tabeller med brugerdata, adgangskoder og interne oplysninger. Angriberen kan herefter systematisk tømme disse tabeller for indhold.

Automatiseret scanning finder og udnytter fejlen

Et automatiseret hackerværktøj (f.eks. SQLMap, som er frit tilgængeligt) scanner internettet for kendte sårbare URL-mønstre. Det finder jeres job_info.php, bekræfter sårbarheden på få sekunder og begynder automatisk at udtrække databaseindhold — herunder e-mailadresser, navne og krypterede adgangskoder på ansøgere eller medarbejdere. Alt dette sker uden menneskelig indgriben og uden at I opdager det.

Konkurrent eller insider tilgår fortrolige jobansøgninger

En person med ond hensigt — det kan være en konkurrent, en utilfreds tidligere medarbejder eller en kriminel — udnytter fejlen til at læse alle indkomne jobansøgninger i databasen, herunder CPR-numre, adresser og CV-oplysninger. Disse data kan sælges på det mørke net eller bruges til identitetstyveri. Virksomheden opdager det muligvis slet ikke, medmindre der er etableret overvågning af databasen.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Guardian language-system passes the id GET parameter directly into an unsanitized SQL query in job_info.php (line 16): SELECT * FROM jobs where id = ‘”.$_GET[‘id’].”‘. No authentication is required. An unauthenticated attacker can perform error-based SQL injection to extract the database version, current user, schema names, and table contents.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-34099
Offentliggjort
01/07/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.