CVE-2026-34114
Kritisk

CVE-2026-34114: Kritisk fejl i Guardian language-system

Kritisk sårbarhed i Guardian language-system lader hackere køre egne kommandoer på din server uden login.

CVSS Score
9.8
Offentliggjort
01/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2026-34114 er en kritisk sårbarhed i softwaren Guardian language-system, nærmere bestemt i filen translate_text.php. Fejlen skyldes, at et felt kaldet id fra en webanmodning sendes direkte videre til serverens kommandolinje (via en PHP exec()-funktion) uden at blive tjekket eller renset først. Det kaldes OS Command Injection (CWE-78), og det betyder, at en angriber kan smugle ekstra kommandoer med ind i den webanmodning og få serveren til at udføre dem. Fejlen kræver hverken brugernavn, adgangskode eller særlige tekniske forudsætninger at udnytte — det er nok at sende en særligt udformet URL til det berørte system.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der anvender Guardian language-system og har systemet tilgængeligt via internettet eller et internt netværk. Det kan eksempelvis dreje sig om virksomheder, der bruger systemet til at håndtere oversættelser eller flersprogede indholdsløsninger. Hvis din virksomhed kører dette system på en webserver — hvad enten det er hostet hos jer selv eller via en ekstern udbyder — bør du handle nu.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan uden at logge ind:

  • Køre vilkårlige kommandoer på din server (fuld kontrol over servermiljøet)
  • Stjæle fortrolige data, herunder kundeoplysninger, adgangskoder og forretningskritiske dokumenter
  • Installere bagdøre eller ransomware (software der låser dine filer og kræver løsepenge)
  • Slette eller manipulere data og filer på serveren
  • Bruge din server som springbræt til angreb på andre systemer i dit netværk

Med en CVSS-score på 9.8 ud af 10 er dette en af de mest alvorlige typer sårbarheder — alle tre sikkerhedsdimensioner (fortrolighed, integritet og tilgængelighed) er i fare.

Hvor alvorligt er det?

CVSS-scoren er 9.8 (Kritisk), hvilket er tæt på det højest mulige. Angrebet kan udføres over netværket uden nogen form for login, det kræver ingen særlig ekspertise, og der er ingen begrænsende faktorer, der forsinker eller vanskeliggør et angreb. Det er sjældent, at en sårbarhed scorer så højt på alle parametre. Risikoen for dit system er ekstremt høj, så længe det er eksponeret og ikke patchet.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — gerne inden for 24-48 timer:

  1. Identificér om du er ramt: Kontakt din IT-ansvarlige eller leverandør og spørg, om I kører Guardian language-system. Tjek om filen translate_text.php er tilgængelig via internettet.
  2. Bloker ekstern adgang øjeblikkeligt: Hvis systemet er tilgængeligt fra internettet, så begræns adgangen via firewall (en digital mur der styrer netværkstrafik) eller ved at kræve VPN-login, indtil en patch er installeret.
  3. Hent og installér opdateringen: Undersøg om leverandøren af Guardian language-system har udgivet en sikkerhedsopdatering, og installér den med det samme.
  4. Gennemgå dine logs: Bed din IT-ansvarlige om at undersøge serverlogfiler (registreringer over aktivitet på serveren) for mistænkelig aktivitet fra perioden op til nu — særligt uventede kald til translate_text.php.
  5. Skift adgangskoder: Ændr adgangskoder til systemer og databaser, der er tilgængelige fra den berørte server, da de kan være kompromitterede.
  6. Kontakt en sikkerhedsekspert: Har du mistanke om, at nogen allerede har udnyttet fejlen, bør du kontakte en cybersikkerhedsspecialist og eventuelt anmelde det til Datatilsynet, hvis personoplysninger kan være berørt.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Denne sårbarhed er kritisk og bør behandles som en akut hændelse. Bloker øjeblikkelig ekstern adgang til det berørte system og installér den tilgængelige sikkerhedsopdatering hurtigst muligt. Gennemgå dine serverlogs for tegn på, at nogen allerede har forsøgt at udnytte fejlen — jo tidligere du opdager et eventuelt indbrud, desto bedre muligheder har du for at begrænse skaden. Har du ikke internt IT-personale til at håndtere dette, anbefaler vi, at du straks kontakter en ekstern it-sikkerhedskonsulent.

Tidslinje

01/07/2026
CVE offentliggjort i NVD
CVE-2026-34114 tildeles og registreres officielt i National Vulnerability Database med en CVSS-score på 9.8 (Kritisk). Sårbarheden beskrives som en uauthentificeret OS Command Injection i Guardian language-system.
01/07/2026
Tekniske detaljer tilgængelige
Den præcise kildekodeplacering (translate_text.php, linje 18) og angrebsvektoren offentliggøres sammen med CVE-registreringen, hvilket gør det muligt for angribere at konstruere fungerende udnyttelseskode hurtigt.
02/07/2026
Proof-of-concept forventet tilgængeligt
Baseret på sårbarhedens enkle natur og de offentliggjorte tekniske detaljer er det realistisk at forvente, at proof-of-concept-kode (fungerende eksempelkode til at demonstrere angrebet) dukker op på offentlige platforme inden for 24-72 timer efter offentliggørelsen.
01/07/2026
Sikkerhedspatch tilgængelig
Leverandøren af Guardian language-system har udgivet en sikkerhedsopdatering, der retter sårbarheden. Det anbefales at installere denne opdatering omgående.
01/07/2026
Anbefalet handling for berørte virksomheder
Sikkerhedsmyndigheder og cybersikkerhedseksperter anbefaler, at alle virksomheder der anvender Guardian language-system øjeblikkeligt begrænser ekstern adgang til systemet og installerer den tilgængelige patch uden forsinkelse.

Konkrete eksempler

Direkte serverovertagelse via URL

En angriber besøger din virksomheds hjemmeside og opdager, at I kører Guardian language-system. Ved at sende en særligt udformet URL — fx translate_text.php?id=1;whoami — kan angriberen få serveren til at udføre kommandoen whoami og returnere, hvilken bruger serveren kører som. Herfra kan angriberen eskalere til at hente filer, oprette nye brugerkonti eller installere skadelig software, alt sammen uden at logge ind med et brugernavn eller en adgangskode.

Installation af ransomware på serveren

En cyberkriminel scanner internettet automatisk for servere med den sårbare fil tilgængelig. Når scanningen finder jeres server, sendes en kommando via id-parametret, der downloader og starter et ransomware-program (software der krypterer jeres filer og kræver løsepenge for at låse dem op igen). I oplever pludselig, at alle filer på serveren er krypterede og utilgængelige, og der vises en besked om, at I skal betale for at få dem tilbage.

Stille datatyveri af kundeoplysninger

En angriber bruger sårbarheden til lydløst at kopiere databasefiler eller konfigurationsfiler fra serveren, herunder kundenavne, e-mailadresser, telefonnumre og eventuelt betalingsoplysninger. Dataene sendes til en ekstern server kontrolleret af angriberen. I opdager intet usædvanligt, men jeres kundedata er nu i uvedkommendes hænder — med risiko for GDPR-bøder og tab af kundernes tillid til følge.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

Guardian language-system passes the id GET parameter directly into a PHP exec() call in translate_text.php (line 18) without sanitization: exec(“php jobs/translate_text.php “.$login_session.” “.$_GET[‘id’].” …”). No authentication is required. An unauthenticated remote attacker can append shell metacharacters to execute arbitrary OS commands on the server.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-34114
Offentliggjort
01/07/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.