CVE-2026-54390
Kritisk

CVE-2026-54390: Kritisk fejl i JTL Shop 5.2–5.7.1

Kritisk fejl i JTL Shop 5.2–5.7.1 lader angribere overtage din webshop uden login via skabelon-injektion.

CVSS Score
9.8
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

CVE-2026-54390 er en såkaldt server-side template injection-sårbarhed i webshop-platformen JTL Shop. En skabelon-motor (her: Smarty) bruges normalt til at vise dynamisk indhold på hjemmesider. Fejlen opstår, fordi JTL Shop ikke renser brugerinput korrekt, inden det sendes til Smarty. Det betyder, at en angriber kan smugle ondsindet kode ind i skabelon-motoren og få serveren til at udføre den. Ingen login eller særlige rettigheder er nødvendige — angrebsvektoren er det åbne internet, og kompleksiteten er lav. Det gør sårbarheden særligt farlig for alle, der driver en JTL Shop.

Hvem rammer det?

Sårbarheden rammer alle virksomheder, der driver en webshop baseret på JTL Shop version 5.2.0 til og med 5.7.1. Det gælder typisk danske SMV’er inden for e-handel, der bruger JTL’s platform til salg af varer online. Er din shop hostet af et bureau eller en hostingudbyder, bør du kontakte dem straks for at få bekræftet, hvilken version I kører.

Hvad kan ske?

En angriber kan udnytte fejlen til følgende:

  • Læse fortrolige serveroplysninger — herunder adgangskoder til databasen og krypteringsnøgler, som kan bruges til at tilgå eller dekryptere kundedata.
  • Installere en webshell (en skjult bagdør på serveren) — på versioner 5.4.0–5.7.1 kan angriberen skrive filer direkte til webserveren og dermed få fuld kommandoudførelse.
  • Overtage hele serveren — med fuld adgang kan angriberen manipulere ordrer, stjæle betalingsoplysninger, sende spam eller bruge serveren til videre angreb.
  • Databrud og GDPR-ansvar — eksponering af kundedata kan udløse anmeldelsespligt til Datatilsynet inden 72 timer.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 9.8 ud af 10 — Kritisk. Det er den næsthøjeste mulige score. Angrebet kræver ingen login, ingen brugerinteraktion og kan udføres fra hele internettet med lav teknisk kompleksitet. Kombinationen af fuld fortrolighed, integritet og tilgængelighed (alle tre CIA-faktorer er vurderet HIGH) betyder, at et vellykket angreb kan give angriberen total kontrol over din shop og de data, den indeholder.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt — helst inden for 24 timer:

  1. Find ud af, hvilken version du kører. Log ind i JTL Shop-administrationen og tjek versionsnummeret under indstillinger eller om-siden. Er du i tvivl, spørg dit webbureau eller hostingudbyder.
  2. Opdater til den seneste patchede version af JTL Shop. Kontrollér JTL’s officielle udgivelsesside og installer den version, der retter CVE-2026-54390. Følg JTL’s opdateringsvejledning, og tag backup inden opdatering.
  3. Tag en backup af shoppen og databasen nu — inden du ændrer noget, så du har et udgangspunkt at gå tilbage til.
  4. Tjek serverlogfiler for tegn på kompromittering. Bed dit bureau eller IT-support om at gennemgå adgangslogfiler for usædvanlig aktivitet, særligt POST-requests med skabelon-lignende indhold.
  5. Skift alle adgangskoder tilknyttet shoppen — database, FTP/SFTP, hostingpanel og JTL-administratorkonto — som en sikkerhedsforanstaltning.
  6. Vurder om der er sket et databrud. Hvis I har grund til at tro, at kundedata er tilgået, har I 72 timers anmeldelsespligt til Datatilsynet.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Auroa anbefaler, at du behandler denne sårbarhed som akut og opdaterer JTL Shop med det samme. Sårbarheden kræver ingen forudgående adgang, og den lave angrebskompleksitet betyder, at automatiserede scanningsværktøjer potentielt allerede er ved at udforske sårbare shops. Har du ikke tekniske ressourcer in-house til at håndtere opdateringen, så kontakt dit webbureau eller os direkte — vi hjælper dig igennem processen hurtigt og sikkert.

Tidslinje

18/06/2026
CVE offentliggjort
NVD offentliggjorde CVE-2026-54390 med en CVSS-score på 9.8 (Kritisk). Sårbarheden beskrives som en server-side template injection i JTL Shop 5.2.0–5.7.1.
18/06/2026
Proof-of-concept tilgængeligt
I forbindelse med offentliggørelsen blev tekniske detaljer om udnyttelsen tilgængelige, herunder brugen af Smarty-modifierne 'unserialize' og 'file_get_contents' til at skrive webshells.
18/06/2026
Patch forventet fra JTL
JTL Software forventes at have udsendt en opdateret version af JTL Shop, der lukker sårbarheden. Tjek JTL's officielle udgivelseslog for den præcise patchede version.
20/06/2026
Automatiseret scanning forventes
Erfaringsmæssigt begynder automatiserede angrebsscannere at søge aktivt efter kendte kritiske sårbarheder inden for 48–72 timer efter offentliggørelse. Upatchede shops er i høj risiko.

Konkrete eksempler

Stjæling af databaseadgangskode via søgefelt

En angriber tilgår din shops søgefunktion og indtaster en ondsindet Smarty-skabelon-streng i stedet for et søgeord. Fordi input ikke renses, udføres strengen af skabelon-motoren, og serveren returnerer indholdet af konfigurationsfilen — inklusive brugernavnet og adgangskoden til databasen. Med disse oplysninger kan angriberen logge direkte ind i databasen og eksportere alle kundeoplysninger.

Installation af skjult bagdør (webshell)

På en shop der kører version 5.4.0–5.7.1 udnytter angriberen Smarty-modifieren ‘file_get_contents’ kombineret med ‘unserialize’ til at skrive en lille PHP-fil til serverens webmappe. Filen er ikke synlig i JTL-administrationen, men angriberen kan nu tilgå den direkte via browseren og udføre vilkårlige kommandoer på serveren — eksempelvis oprette nye adminbrugere, slette data eller sende phishing-mails fra din servers IP-adresse.

Krypteringsnøgle bruges til at dekryptere kundedata

Via template injection-fejlen læser angriberen serverens miljøvariable og konfigurationsfiler, hvor applikationens krypteringsnøgle er gemt. Med denne nøgle kan angriberen dekryptere krypterede felter i databasen — f.eks. gemte adresser, ordreoplysninger eller interne tokens — selv hvis de har hentet databasedumpen ad anden vej.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-1336

Original NVD-beskrivelse (engelsk)

JTL Shop versions 5.2.0 through 5.7.1 contains a server-side template injection vulnerability that allows unauthenticated attackers to inject malicious template syntax due to unsanitized user-supplied input passed to the Smarty template engine. Attackers can exploit this flaw to read sensitive server-side values such as database credentials and encryption keys, and on versions 5.4.0 through 5.7.1, leverage registered Smarty modifiers including unserialize and file_get_contents to write a webshell to the web root and execute arbitrary commands as the web server user.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-54390
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.