CVE-2026-34106
Kritisk

CVE-2026-34106: Kritisk sårbarhed i Guardian language-system

Kritisk sårbarhed i Guardian language-system lader angribere køre vilkårlige kommandoer på din server uden login.

CVSS Score
9.8
Offentliggjort
01/07/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

En kritisk sårbarhed er fundet i softwaren Guardian language-system. Fejlen ligger i en fil kaldet subtitles.php, hvor programmet tager en værdi fra brugerens webanmodning (kaldet id-parameteren) og sender den direkte videre til serverens kommandolinje uden at tjekke eller rense den først. Det svarer til at lade en fremmed skrive en seddel, som din server udfører som en ordre — uden at læse den igennem. En angriber behøver ikke at logge ind eller have særlige rettigheder for at udnytte fejlen. Det er nok at sende en særligt udformet webanmodning til den sårbare fil.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Guardian language-system til håndtering af undertekster eller sprogfiler, og som har systemet tilgængeligt via internettet eller et netværk. Særligt udsatte er:

  • Medievirksomheder, uddannelsesinstitutioner eller indholdsudbydere der bruger Guardian til undertekst-generering
  • Hostingudbydere eller webhoteller der kører softwaren på vegne af kunder
  • Enhver installation hvor subtitles.php er tilgængelig uden netværksbegrænsning

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan de køre hvilke som helst kommandoer på din server med de rettigheder, som webserveren kører med. I praksis betyder det:

  • Datatyveri: Angriberen kan læse og kopiere alle filer på serveren, herunder kundedata, adgangskoder og fortrolige dokumenter.
  • Ransomware: Angriberen kan installere ondsindet software (f.eks. ransomware, der krypterer dine data og kræver løsepenge).
  • Fuldstændig overtagelse: Serveren kan bruges som springbræt til at angribe andre systemer i dit netværk.
  • Nedetid: Angriberen kan slette eller ødelægge data og bringe hele driften i stå.

Hvor alvorligt er det?

Denne sårbarhed er bedømt som Kritisk med en CVSS-score på 9,8 ud af 10 — den højest mulige risikoklasse. Det skyldes en kombination af faktorer, der gør den særligt farlig:

  • Ingen login krævet: Angriberen behøver ingen brugernavn, adgangskode eller særlige rettigheder.
  • Nem at udnytte: Angrebet kræver lav teknisk kompleksitet og kan udføres over internettet.
  • Fuld konsekvens: Fortrolighed, integritet og tilgængelighed er alle i spil — det vil sige at data kan stjæles, ændres og slettes.

Fejltypen (CWE-78) kaldes OS Command Injection og er en velkendt angrebsmetode, som erfarne angribere kender godt.

Hvad gør jeg nu?

Handles der hurtigt, kan du begrænse risikoen betydeligt. Følg disse trin i prioriteret rækkefølge:

  1. Find ud af om du er berørt: Kontakt din IT-ansvarlige eller leverandøren af Guardian language-system og spørg, om I bruger softwaren, og om subtitles.php er tilgængelig fra internettet.
  2. Bloker adgang midlertidigt: Hvis du ikke kan opdatere med det samme, så bed din IT-afdeling om at blokere adgang til subtitles.php i serverens konfiguration eller firewall.
  3. Opdater softwaren: Installer den nyeste version af Guardian language-system, hvis leverandøren har udgivet en opdatering med rettelse af denne fejl.
  4. Gennemgå logfiler: Bed din IT-ansvarlige om at tjekke serverlogfiler for mistænkelig aktivitet rettet mod subtitles.php — særligt forespørgsler med specielle tegn som ;, | eller & i id-parameteren.
  5. Skift adgangskoder: Hvis der er mistanke om kompromittering, bør adgangskoder til serveren og tilknyttede systemer skiftes omgående.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

På grund af sårbarhedens kritiske alvorlighed og lave angrebsbarriere anbefaler vi, at du handler inden for 24-48 timer. Bloker adgangen til den sårbare fil som første nødforanstaltning, og kontakt straks leverandøren af Guardian language-system for at forhøre dig om en officiel rettelse. Har du ikke intern IT-kompetence til at håndtere dette, er du velkommen til at kontakte Auroa — vi kan hjælpe med at vurdere din eksponering og sætte de rette sikkerhedsforanstaltninger på plads.

Tidslinje

01/07/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-34106 med en kritisk CVSS-score på 9,8. Sårbarheden beskrives som en OS Command Injection i Guardian language-systems subtitles.php.
01/07/2026
Ingen autentifikation krævet bekræftet
Det bekræftes i CVE-beskrivelsen, at angrebet kan udføres uden login, hvilket øger risikoen for udbredt udnyttelse markant fra dag ét.
02/07/2026
Proof-of-concept forventes tilgængeligt
Sårbarheder af denne type og alvorlighed offentliggøres typisk med eller efterfulgt af proof-of-concept-kode inden for 24-72 timer, hvilket sænker angrebstærsklen yderligere.
09/07/2026
Officiel patch fra leverandør
Der er endnu ikke udgivet en officiel rettelse fra Guardian language-systems leverandør. Følg leverandørens sikkerhedsbulletiner og opdater så snart en patch er tilgængelig.

Konkrete eksempler

Angriber overtager serveren via URL-manipulation

En angriber opdager, at en virksomheds Guardian-installation er tilgængelig via internettet. Ved at sende en webanmodning til subtitles.php?id=1;whoami bekræfter angriberen, at serveren returnerer brugerkontoen, som webserveren kører under. Angriberen eskalerer herefter angrebet ved at sende kommandoer, der opretter en bagdør (en skjult adgang), og kan nu logge ind på serveren til enhver tid uden at bruge Guardian-softwaren.

Datatyveri af kundeoplysninger og fortrolige filer

En angriber bruger sårbarheden til at køre kommandoer, der søger efter databasekonfigurationsfiler på serveren og udlæser indholdet. Herved får angriberen fat i databaseadgangskoder og kan kopiere hele kundedatabasen — inklusiv navne, e-mails og betalingsoplysninger — til en ekstern server. Virksomheden opdager først bruddet uger senere, når data dukker op til salg på dark web.

Ransomware-installation via sårbar webserver

En angriber udnytter sårbarheden til at downloade og køre et ransomware-program direkte på serveren ved hjælp af kommandoen curl eller wget. Ransomwaren krypterer alle filer på serveren og tilknyttede netværksdrev, og virksomheden modtager et krav om løsepenge for at få deres data låst op igen. Uden backup er konsekvenserne katastrofale for driften.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

Guardian language-system passes the id GET parameter directly into a PHP exec() call in subtitles.php (line 19) without sanitization: exec(“php jobs/subtitle_rendering.php “.$login_session.” “.$_GET[‘id’].” …”). No authentication is required. An unauthenticated remote attacker can append shell metacharacters to the id parameter to execute arbitrary OS commands on the server.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-34106
Offentliggjort
01/07/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.