CVE-2026-34108: Kritisk fejl i Guardian language-system
Kritisk sårbarhed i Guardian language-system lader hackere køre egne kommandoer på din server uden login.
Hvad er det?
Systemet Guardian language-system indeholder en farlig fejl i filen text.php. Filen tager en værdi fra en webadresse (kaldet en GET-parameter) og sender den direkte videre til serverens kommandolinje via en PHP-funktion kaldet exec(). Problemet er, at systemet ikke tjekker eller renser denne værdi, før det sker. Det betyder, at en angriber kan snige ekstra kommandoer ind i værdien og få serveren til at udføre dem. Fejltypen hedder OS Command Injection (CWE-78), og den kræver hverken password eller særlige rettigheder at udnytte — kun adgang til internettet.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der kører Guardian language-system på en server med internetadgang. Det gælder uanset størrelse. Da der ikke kræves nogen form for login for at udnytte fejlen, er alle installationer, der er tilgængelige fra nettet, i fare — også selv om I mener, at systemet kun bruges internt, hvis det er eksponeret mod internettet.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, får mulighed for at:
- Læse, kopiere eller slette alle filer på serveren — herunder persondata, kundeoplysninger og forretningshemmeligheder.
- Installere skadelig software, f.eks. ransomware (software der krypterer dine data og kræver løsepenge) eller bagdøre (skjulte adgange til systemet).
- Bruge din server som platform til at angribe andre systemer — hvilket kan gøre jer ansvarlige i andres øjne.
- Lukke serveren ned helt og dermed lamme jeres drift.
Angriberen opnår i praksis fuld kontrol over den maskine, der kører softwaren.
Hvor alvorligt er det?
CVSS-scoren er 9,8 ud af 10 — Kritisk. Det er den næsthøjeste mulige vurdering. Tre faktorer gør den særligt alvorlig:
- Ingen login kræves: Hvem som helst på internettet kan forsøge angrebet.
- Lav kompleksitet: Der kræves ingen særlige tekniske færdigheder eller specielt udstyr.
- Fuld påvirkning: Fortrolighed, integritet og tilgængelighed er alle maksimalt truet — det vil sige, at data kan stjæles, ændres og systemet kan slukkes.
Denne type sårbarhed bør behandles med samme alvor som en ulåst hoveddør til jeres serverrum.
Hvad gør jeg nu?
Handl hurtigst muligt — helst inden for 24 timer. Følg disse trin:
- Kortlæg eksponeringen: Find ud af, om jeres installation af Guardian language-system er tilgængelig fra internettet. Spørg jeres IT-ansvarlige eller leverandør.
- Bloker adgangen midlertidigt: Hvis systemet er eksponeret, så begræns adgangen med det samme via en firewall (en digital mur der filtrerer netværkstrafik) eller ved at tage det offline, indtil en opdatering er på plads.
- Tjek for opdatering: Kontakt producenten af Guardian language-system eller tjek deres hjemmeside/GitHub for en sikkerhedsopdatering, og installer den straks hvis den findes.
- Gennemgå logfiler: Bed jeres IT-ansvarlige om at undersøge serverlogfiler (systemets historik over aktivitet) for tegn på, at nogen allerede har forsøgt eller gennemført et angreb.
- Anmeld ved mistanke om brud: Hvis I finder tegn på, at data er kompromitteret, har I pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Handl inden for 24 timer
Da denne sårbarhed ikke kræver nogen form for login og har den højest mulige angrebseffekt, anbefaler vi, at I behandler den som en akut situation. Begræns adgangen til systemet via firewall eller tag det offline med det samme, og kontakt jeres IT-leverandør i dag. Vent ikke på, at en opdatering dukker op af sig selv — vær proaktive og hold øje med producentens kommunikationskanaler for en patch.
Tidslinje
Konkrete eksempler
Direkte serverovertagelse via webadresse
En angriber finder Guardian language-systemet ved hjælp af en automatisk scanner, der leder efter kendte sårbare systemer på internettet. Angriberen tilføjer blot et semikolon og en systemkommando til webadressen — f.eks. text.php?id=1;whoami — og serveren svarer med, hvilken bruger den kører som. Derfra er det kort vej til at installere en bagdør og overtage systemet fuldstændigt, uden at nogen har bemærket det.
Ransomware-installation via sårbarheden
En kriminel gruppe bruger sårbarheden til at udføre en kommando, der downloader og aktiverer ransomware på serveren. Inden for få minutter er alle filer på serveren krypteret, og virksomheden modtager en løsesumsbesked. Fordi angrebet sker via en webapplikation, er det svært at opdage i realtid uden et overvågningssystem.
Datatyveri af kundeinformation
En angriber bruger kommandoinjektionen til at pakke og sende virksomhedens database med kundeoplysninger til en ekstern server under dennes kontrol. Virksomheden opdager først tyveriet uger senere — eller slet ikke, medmindre de aktivt gennemgår logfiler. Et sådant databrud kan medføre GDPR-bøder og tab af kundernes tillid.
Ofte stillede spørgsmål
Hvad er OS Command Injection, og hvorfor er det så farligt?
OS Command Injection betyder, at en angriber kan snige egne systemkommandoer ind i et program, der derefter udfører dem som om det var legitime instruktioner fra systemet selv. Det er farligt, fordi angriberen reelt overtager serverens evne til at gøre, hvad som helst — det svarer til, at en fremmed person sætter sig ved tastaturet på din server og skriver kommandoer direkte ind.
Kan jeg se, om nogen allerede har udnyttet sårbarheden?
Måske. I serverens logfiler (systemets aktivitetshistorik) kan der være spor efter usædvanlige kald til filen text.php med mistænkelige tegn i webadressen, f.eks. semikolon, pipe-tegn eller baglæns skråstreg. Bed jeres IT-ansvarlige om at gennemgå logfilerne. Er I i tvivl, kan en ekstern sikkerhedskonsulent hjælpe med en hurtig analyse.
Har vi brug for at gøre noget, hvis vores system ikke er tilgængeligt fra internettet?
Risikoen er markant lavere, hvis systemet kun er tilgængeligt på et lukket internt netværk. Men det er stadig værd at opdatere, så snart en patch er tilgængelig — og at verificere, at systemet faktisk er afskærmet som antaget. Interne netværk kan kompromitteres via f.eks. phishing-angreb (svindelmails), og så kan en intern angriber udnytte fejlen.
Hvad gør vi, hvis der ikke findes en opdatering endnu?
Hvis producenten endnu ikke har udgivet en rettelse, er den bedste midlertidige løsning at blokere offentlig adgang til systemet via en firewall eller tage det offline. I kan også undersøge, om en WAF (Web Application Firewall — en sikkerhedsløsning der filtrerer webtrafik) kan blokere ondsindede forespørgsler som en midlertidig beskyttelse, mens I afventer en officiel patch.
Er vi forpligtede til at anmelde dette til myndighederne?
I er ikke forpligtede til at anmelde selve sårbarheden. Men hvis I opdager, at persondata faktisk er blevet tilgået eller stjålet som følge af et angreb, skal I anmelde det til Datatilsynet inden for 72 timer ifølge GDPR. Kontakt evt. jeres juridiske rådgiver for en konkret vurdering af jeres situation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Guardian language-system passes the id GET parameter directly into a PHP exec() call in text.php (line 15) without sanitization: exec(“php jobs/text.php “.$login_session.” “.$_GET[‘id’].” …”). No authentication is required. An unauthenticated remote attacker can append shell metacharacters to execute arbitrary OS commands on the server.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
