CVE-2026-34100: SQL-injektion i Guardian language-system
Kritisk SQL-fejl i Guardian language-system giver angribere adgang til hele databasen via én URL-parameter.
Hvad er det?
CVE-2026-34100 er en kritisk sikkerhedsfejl i softwaren Guardian language-system. Fejlen findes i filen media.php, hvor systemet direkte indsætter brugerinput (en URL-parameter kaldet id) i en databaseforespørgsel uden at tjekke eller rense inputtet først.
Dette kaldes SQL-injektion (en angrebsmetode, hvor en hacker sniger skadelig kode ind i en databaseforespørgsel). Resultatet er, at en angriber kan manipulere forespørgslen og trække data ud af databasen — eller i værste fald ændre og slette data.
Hvem rammer det?
Fejlen rammer alle virksomheder og organisationer, der bruger Guardian language-system i en version, der indeholder den sårbare media.php-fil. Det kræver, at angriberen er logget ind (autentificeret), men ellers er der ingen tekniske barrierer — angrebet kan udføres over internettet uden særlige færdigheder eller adgangskrav ud over en brugerkonto.
Bruger din virksomhed Guardian language-system som en del af jeres hjemmeside, intranet eller sprogundervisningsplatform, bør du handle nu.
Hvad kan ske?
En angriber med en almindelig brugerkonto kan udnytte fejlen til at:
- Udtrække hele databasens indhold — herunder brugernavne, adgangskoder, persondata og forretningsinformation.
- Omgå adgangskontrol — og potentielt skaffe sig administratorrettigheder.
- Ændre eller slette data i databasen, hvilket kan lamme systemet.
- Overholdelsesproblemer — et databrud kan udløse GDPR-bøder og krav om notifikation til Datatilsynet.
Hvor alvorligt er det?
Sårbarheden scorer 9,8 ud af 10 (Kritisk) på den internationale CVSS-skala. Det er den næsthøjeste mulige score. Alle tre kategorier — fortrolighed, integritet og tilgængelighed — er vurderet som høj risiko. Angrebet kræver ingen særlige tekniske forudsætninger, ingen speciel konfiguration og kan udføres direkte over internettet. Den eneste begrænsning er, at angriberen skal have en gyldig brugerkonto i systemet — men det er en lav barriere, da konti kan oprettes, phishes eller købes.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24-48 timer:
- Identificér om du bruger Guardian language-system: Spørg din IT-ansvarlige eller webmaster, om systemet er i brug på jeres platforme.
- Tjek for opdateringer: Kontakt leverandøren af Guardian language-system og spørg specifikt til en patch (rettelse) til CVE-2026-34100.
- Begræns adgangen midlertidigt: Overvej at deaktivere eller beskytte adgangen til
media.phpbag en ekstra adgangskontrol (f.eks. IP-begrænsning), indtil en patch er installeret. - Gennemgå adgangslogge: Bed din IT-ansvarlige tjekke logfiler for usædvanlige forespørgsler til
media.php— særligt forespørgsler med uventede tegn som',--ellerUNIONi URL’en. - Skift adgangskoder: Forceér nulstilling af adgangskoder for alle brugere med adgang til systemet, da loginoplysninger kan være kompromitteret.
- Kontakt Auroa: Har du brug for hjælp til vurdering eller afhjælpning, står vi klar til at hjælpe.
Handl inden for 24-48 timer
Hos Auroa vurderer vi denne sårbarhed som akut. En CVSS-score på 9,8 kombineret med en simpel angrebsmetode som SQL-injektion betyder, at risikoen for udnyttelse er meget høj. Begræns straks adgangen til det sårbare system, og kontakt din leverandør for en patch. Har du mistanke om, at systemet allerede er blevet kompromitteret, bør du iværksætte en hændelsesrespons og vurdere behovet for anmeldelse til Datatilsynet inden for GDPR’s 72-timers-frist.
Tidslinje
Konkrete eksempler
Udtræk af hele brugerregistret
En angriber logger ind med en oprettet prøvekonto og besøger URL’en media.php?id=1' UNION SELECT username,password,email,4,5,6,7 FROM users--. Fordi inputtet ikke renses, returnerer systemet brugernavne og adgangskodehashe for alle brugere i databasen. Angriberen kan herefter forsøge at knække hashene og overtage administratorkonti.
Adgang til private filer og fortrolig forretningsdata
Guardian language-system gemmer filer med en private-markering i databasen. Via SQL-injektion kan en angriber omgå den normale adgangskontrol og hente filnavne og metadata på alle filer — herunder dem, der er markeret som private. Dette kan afsløre fortrolige dokumenter, kontrakter eller personhenførbare oplysninger om ansatte og kunder.
Automatiseret masseudnyttelse via scanner
En trusselsaktør bruger et automatiseret scanningsværktøj (f.eks. sqlmap) til at identificere alle offentligt tilgængelige installationer af Guardian language-system. Værktøjet sender automatisk injektionsforespørgsler til media.php på tusindvis af domæner og dumper databaseindholdet uden manuel indsats. Virksomheder, der ikke har patchet, kan blive kompromitteret, selvom de ikke er specifikt målrettet.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en hacker indsætter skadelig kode i et felt eller en URL, som systemet derefter sender videre til databasen. Fordi Guardian language-system ikke filtrerer brugerinput i
media.php, kan en angriber manipulere databaseforespørgsler og f.eks. hente alle brugeres data eller omgå loginbeskyttelse. Det er en af de ældste og mest kendte angrebstyper, og der findes mange automatiserede værktøjer til at udnytte den.Skal angriberen have en konto for at udnytte fejlen?
Ja — NVD-beskrivelsen angiver, at angriberen skal være autentificeret, dvs. logget ind i systemet. Det sænker risikoen lidt i forhold til helt åbne angreb, men er langtfra en tilstrækkelig beskyttelse. Brugerkontoudfordringer som svage adgangskoder, phishing eller køb af stjålne loginoplysninger betyder, at denne barriere nemt kan overvindes.
Er der en officiel patch tilgængelig endnu?
På tidspunktet for offentliggørelsen af CVE’en (1. juli 2026) er der ikke registreret en officiel patch i NVD. Du bør straks kontakte Guardian language-systems leverandør direkte for at få bekræftet status og modtage en opdatering, så snart den er tilgængelig. Følg med på leverandørens sikkerhedssider og Auroas opdateringer.
Er vi forpligtet til at anmelde et databrud til Datatilsynet?
Hvis I har konstateret — eller har rimelig grund til at mistænke — at persondata er blevet tilgået af uvedkommende, skal I som udgangspunkt anmelde bruddet til Datatilsynet inden for 72 timer efter opdagelse, jf. GDPR artikel 33. Kontakt jeres databeskyttelsesrådgiver (DPO) eller Auroa, hvis I er i tvivl om, hvad der gælder i jeres situation.
Hvad er risikoen, hvis vi ikke handler hurtigt?
SQL-injektion er en velkendt og let automatiserbar angrebstype. Sårbare systemer bliver typisk opdaget og angrebet inden for dage til uger efter offentliggørelse af en CVE. Konsekvenserne kan inkludere tyveri af kundedata, kompromitterede brugerkonti, driftsstop og GDPR-bøder. Jo længere I venter, jo større er risikoen for et reelt angreb.
Kan vi selv tjekke, om vi allerede er blevet angrebet?
Ja — bed din IT-ansvarlige gennemgå serverlogfiler (access logs) for
media.phpog lede efter forespørgsler, der indeholder SQL-nøgleord somUNION,SELECT,--eller uventede specialtegn iid-parameteren. Er I ikke i stand til selv at lave denne analyse, kan Auroa hjælpe med en teknisk gennemgang.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Guardian language-system passes the id GET parameter directly into an unsanitized SQL query in media.php (line 17): SELECT id, filename, extension, type, duration, owner, private FROM files where id = ‘”.$_GET[‘id’].”‘. An authenticated attacker can perform error-based SQL injection to extract database contents.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
