CVE-2026-34100
Kritisk

CVE-2026-34100: SQL-injektion i Guardian language-system

Kritisk SQL-fejl i Guardian language-system giver angribere adgang til hele databasen via én URL-parameter.

CVSS Score
9.8
Offentliggjort
01/07/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2026-34100 er en kritisk sikkerhedsfejl i softwaren Guardian language-system. Fejlen findes i filen media.php, hvor systemet direkte indsætter brugerinput (en URL-parameter kaldet id) i en databaseforespørgsel uden at tjekke eller rense inputtet først.

Dette kaldes SQL-injektion (en angrebsmetode, hvor en hacker sniger skadelig kode ind i en databaseforespørgsel). Resultatet er, at en angriber kan manipulere forespørgslen og trække data ud af databasen — eller i værste fald ændre og slette data.

Hvem rammer det?

Fejlen rammer alle virksomheder og organisationer, der bruger Guardian language-system i en version, der indeholder den sårbare media.php-fil. Det kræver, at angriberen er logget ind (autentificeret), men ellers er der ingen tekniske barrierer — angrebet kan udføres over internettet uden særlige færdigheder eller adgangskrav ud over en brugerkonto.

Bruger din virksomhed Guardian language-system som en del af jeres hjemmeside, intranet eller sprogundervisningsplatform, bør du handle nu.

Hvad kan ske?

En angriber med en almindelig brugerkonto kan udnytte fejlen til at:

  • Udtrække hele databasens indhold — herunder brugernavne, adgangskoder, persondata og forretningsinformation.
  • Omgå adgangskontrol — og potentielt skaffe sig administratorrettigheder.
  • Ændre eller slette data i databasen, hvilket kan lamme systemet.
  • Overholdelsesproblemer — et databrud kan udløse GDPR-bøder og krav om notifikation til Datatilsynet.

Hvor alvorligt er det?

Sårbarheden scorer 9,8 ud af 10 (Kritisk) på den internationale CVSS-skala. Det er den næsthøjeste mulige score. Alle tre kategorier — fortrolighed, integritet og tilgængelighed — er vurderet som høj risiko. Angrebet kræver ingen særlige tekniske forudsætninger, ingen speciel konfiguration og kan udføres direkte over internettet. Den eneste begrænsning er, at angriberen skal have en gyldig brugerkonto i systemet — men det er en lav barriere, da konti kan oprettes, phishes eller købes.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — helst inden for 24-48 timer:

  1. Identificér om du bruger Guardian language-system: Spørg din IT-ansvarlige eller webmaster, om systemet er i brug på jeres platforme.
  2. Tjek for opdateringer: Kontakt leverandøren af Guardian language-system og spørg specifikt til en patch (rettelse) til CVE-2026-34100.
  3. Begræns adgangen midlertidigt: Overvej at deaktivere eller beskytte adgangen til media.php bag en ekstra adgangskontrol (f.eks. IP-begrænsning), indtil en patch er installeret.
  4. Gennemgå adgangslogge: Bed din IT-ansvarlige tjekke logfiler for usædvanlige forespørgsler til media.php — særligt forespørgsler med uventede tegn som ', -- eller UNION i URL’en.
  5. Skift adgangskoder: Forceér nulstilling af adgangskoder for alle brugere med adgang til systemet, da loginoplysninger kan være kompromitteret.
  6. Kontakt Auroa: Har du brug for hjælp til vurdering eller afhjælpning, står vi klar til at hjælpe.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Hos Auroa vurderer vi denne sårbarhed som akut. En CVSS-score på 9,8 kombineret med en simpel angrebsmetode som SQL-injektion betyder, at risikoen for udnyttelse er meget høj. Begræns straks adgangen til det sårbare system, og kontakt din leverandør for en patch. Har du mistanke om, at systemet allerede er blevet kompromitteret, bør du iværksætte en hændelsesrespons og vurdere behovet for anmeldelse til Datatilsynet inden for GDPR’s 72-timers-frist.

Tidslinje

01/07/2026
CVE offentliggjort i NVD
CVE-2026-34100 offentliggøres officielt i National Vulnerability Database med en kritisk CVSS-score på 9,8. Sårbarheden i Guardian language-system beskrives i detaljer, herunder den præcise kodelinje i media.php.
01/07/2026
Tekniske detaljer offentligt tilgængelige
Fordi NVD-beskrivelsen indeholder den præcise SQL-forespørgsel og filnavn, er det straks muligt for angribere at rekonstruere et angreb. Risikoen for hurtig udnyttelse er markant forhøjet.
02/07/2026
Forventet POC-exploit-aktivitet
Baseret på historisk mønster for lignende SQL-injektionssårbarheder med fuldt offentliggjorte detaljer kan proof-of-concept-exploit-kode forventes at cirkulere på hackerfora og GitHub inden for 24-72 timer efter offentliggørelse.
09/07/2026
Officiel patch fra leverandør
På nuværende tidspunkt er ingen officiel patch registreret i NVD. Leverandøren af Guardian language-system forventes at udgive en rettelse — følg leverandørens sikkerhedskanaler tæt.

Konkrete eksempler

Udtræk af hele brugerregistret

En angriber logger ind med en oprettet prøvekonto og besøger URL’en media.php?id=1' UNION SELECT username,password,email,4,5,6,7 FROM users--. Fordi inputtet ikke renses, returnerer systemet brugernavne og adgangskodehashe for alle brugere i databasen. Angriberen kan herefter forsøge at knække hashene og overtage administratorkonti.

Adgang til private filer og fortrolig forretningsdata

Guardian language-system gemmer filer med en private-markering i databasen. Via SQL-injektion kan en angriber omgå den normale adgangskontrol og hente filnavne og metadata på alle filer — herunder dem, der er markeret som private. Dette kan afsløre fortrolige dokumenter, kontrakter eller personhenførbare oplysninger om ansatte og kunder.

Automatiseret masseudnyttelse via scanner

En trusselsaktør bruger et automatiseret scanningsværktøj (f.eks. sqlmap) til at identificere alle offentligt tilgængelige installationer af Guardian language-system. Værktøjet sender automatisk injektionsforespørgsler til media.php på tusindvis af domæner og dumper databaseindholdet uden manuel indsats. Virksomheder, der ikke har patchet, kan blive kompromitteret, selvom de ikke er specifikt målrettet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

Guardian language-system passes the id GET parameter directly into an unsanitized SQL query in media.php (line 17): SELECT id, filename, extension, type, duration, owner, private FROM files where id = ‘”.$_GET[‘id’].”‘. An authenticated attacker can perform error-based SQL injection to extract database contents.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-34100
Offentliggjort
01/07/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.