CVE-2026-54390: Kritisk fejl i JTL Shop 5.2–5.7.1
Kritisk fejl i JTL Shop 5.2–5.7.1 lader angribere overtage din webshop uden login via skabelon-injektion.
Hvad er det?
CVE-2026-54390 er en såkaldt server-side template injection-sårbarhed i webshop-platformen JTL Shop. En skabelon-motor (her: Smarty) bruges normalt til at vise dynamisk indhold på hjemmesider. Fejlen opstår, fordi JTL Shop ikke renser brugerinput korrekt, inden det sendes til Smarty. Det betyder, at en angriber kan smugle ondsindet kode ind i skabelon-motoren og få serveren til at udføre den. Ingen login eller særlige rettigheder er nødvendige — angrebsvektoren er det åbne internet, og kompleksiteten er lav. Det gør sårbarheden særligt farlig for alle, der driver en JTL Shop.
Hvem rammer det?
Sårbarheden rammer alle virksomheder, der driver en webshop baseret på JTL Shop version 5.2.0 til og med 5.7.1. Det gælder typisk danske SMV’er inden for e-handel, der bruger JTL’s platform til salg af varer online. Er din shop hostet af et bureau eller en hostingudbyder, bør du kontakte dem straks for at få bekræftet, hvilken version I kører.
Hvad kan ske?
En angriber kan udnytte fejlen til følgende:
- Læse fortrolige serveroplysninger — herunder adgangskoder til databasen og krypteringsnøgler, som kan bruges til at tilgå eller dekryptere kundedata.
- Installere en webshell (en skjult bagdør på serveren) — på versioner 5.4.0–5.7.1 kan angriberen skrive filer direkte til webserveren og dermed få fuld kommandoudførelse.
- Overtage hele serveren — med fuld adgang kan angriberen manipulere ordrer, stjæle betalingsoplysninger, sende spam eller bruge serveren til videre angreb.
- Databrud og GDPR-ansvar — eksponering af kundedata kan udløse anmeldelsespligt til Datatilsynet inden 72 timer.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.8 ud af 10 — Kritisk. Det er den næsthøjeste mulige score. Angrebet kræver ingen login, ingen brugerinteraktion og kan udføres fra hele internettet med lav teknisk kompleksitet. Kombinationen af fuld fortrolighed, integritet og tilgængelighed (alle tre CIA-faktorer er vurderet HIGH) betyder, at et vellykket angreb kan give angriberen total kontrol over din shop og de data, den indeholder.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt — helst inden for 24 timer:
- Find ud af, hvilken version du kører. Log ind i JTL Shop-administrationen og tjek versionsnummeret under indstillinger eller om-siden. Er du i tvivl, spørg dit webbureau eller hostingudbyder.
- Opdater til den seneste patchede version af JTL Shop. Kontrollér JTL’s officielle udgivelsesside og installer den version, der retter CVE-2026-54390. Følg JTL’s opdateringsvejledning, og tag backup inden opdatering.
- Tag en backup af shoppen og databasen nu — inden du ændrer noget, så du har et udgangspunkt at gå tilbage til.
- Tjek serverlogfiler for tegn på kompromittering. Bed dit bureau eller IT-support om at gennemgå adgangslogfiler for usædvanlig aktivitet, særligt POST-requests med skabelon-lignende indhold.
- Skift alle adgangskoder tilknyttet shoppen — database, FTP/SFTP, hostingpanel og JTL-administratorkonto — som en sikkerhedsforanstaltning.
- Vurder om der er sket et databrud. Hvis I har grund til at tro, at kundedata er tilgået, har I 72 timers anmeldelsespligt til Datatilsynet.
Opdatér inden for 24 timer
Auroa anbefaler, at du behandler denne sårbarhed som akut og opdaterer JTL Shop med det samme. Sårbarheden kræver ingen forudgående adgang, og den lave angrebskompleksitet betyder, at automatiserede scanningsværktøjer potentielt allerede er ved at udforske sårbare shops. Har du ikke tekniske ressourcer in-house til at håndtere opdateringen, så kontakt dit webbureau eller os direkte — vi hjælper dig igennem processen hurtigt og sikkert.
Tidslinje
Konkrete eksempler
Stjæling af databaseadgangskode via søgefelt
En angriber tilgår din shops søgefunktion og indtaster en ondsindet Smarty-skabelon-streng i stedet for et søgeord. Fordi input ikke renses, udføres strengen af skabelon-motoren, og serveren returnerer indholdet af konfigurationsfilen — inklusive brugernavnet og adgangskoden til databasen. Med disse oplysninger kan angriberen logge direkte ind i databasen og eksportere alle kundeoplysninger.
Installation af skjult bagdør (webshell)
På en shop der kører version 5.4.0–5.7.1 udnytter angriberen Smarty-modifieren ‘file_get_contents’ kombineret med ‘unserialize’ til at skrive en lille PHP-fil til serverens webmappe. Filen er ikke synlig i JTL-administrationen, men angriberen kan nu tilgå den direkte via browseren og udføre vilkårlige kommandoer på serveren — eksempelvis oprette nye adminbrugere, slette data eller sende phishing-mails fra din servers IP-adresse.
Krypteringsnøgle bruges til at dekryptere kundedata
Via template injection-fejlen læser angriberen serverens miljøvariable og konfigurationsfiler, hvor applikationens krypteringsnøgle er gemt. Med denne nøgle kan angriberen dekryptere krypterede felter i databasen — f.eks. gemte adresser, ordreoplysninger eller interne tokens — selv hvis de har hentet databasedumpen ad anden vej.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis min shop er hostet af et bureau?
Ja. Hosting-bureauet driver måske infrastrukturen, men det er ikke sikkert, at de automatisk opdaterer selve JTL Shop-softwaren. Kontakt dem straks og bed om bekræftelse på, hvilken version der kører, og om de har patchet sårbarheden.
Hvordan ved jeg, om min shop allerede er blevet angrebet?
Tegn på kompromittering kan være ukendte filer i webmappen (særligt .php-filer du ikke genkender), usædvanlige log-entries med kryptisk tekst i URL-parametre, ændringer i shopindhold du ikke har foretaget, eller pludselig høj serverbelastning. Bed dit IT-support om at gennemgå serverlogfiler fra de seneste uger.
Er mine kunders betalingskortdata i fare?
Hvis din shop gemmer eller behandler kortdata direkte på serveren, kan de potentielt være eksponerede. De fleste JTL-installationer bruger dog eksterne betalingsgateway-udbydere, hvor kortdata ikke lagres lokalt. Tjek med din betalingsudbyder, og undersøg om databasen indeholder følsomme kundeoplysninger som adresser, e-mails eller ordrehistorik — disse er også beskyttede under GDPR.
Hvad er en 'webshell', og hvorfor er det farligt?
En webshell er et lille skjult program, som en angriber installerer på din server via sårbarheden. Det fungerer som en bagdør, der giver angriberen mulighed for at udføre kommandoer på serveren når som helst — også efter du har lukket den oprindelige sårbarhed. Derfor er det vigtigt at undersøge, om din server allerede er kompromitteret, ikke blot at opdatere softwaren.
Hvad sker der, hvis vi ikke opdaterer?
Din webshop forbliver åben for angreb fra hele internettet uden krav om login. Angribere kan automatisk scanne efter sårbare JTL-installationer og udnytte dem. Konsekvenserne kan inkludere datatyveri, driftsstop, GDPR-bøder og tab af kundernes tillid.
Dækker vores erhvervsforsikring et evt. cyberangreb?
Det afhænger af din forsikringspolice. Mange erhvervsforsikringer dækker ikke cyberhændelser som standard — det kræver en specifik cyberforsikring. Kontakt din forsikringsmægler og undersøg, hvad I er dækket for, og om der er krav til jeres sikkerhedsniveau for at opretholde dækningen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
JTL Shop versions 5.2.0 through 5.7.1 contains a server-side template injection vulnerability that allows unauthenticated attackers to inject malicious template syntax due to unsanitized user-supplied input passed to the Smarty template engine. Attackers can exploit this flaw to read sensitive server-side values such as database credentials and encryption keys, and on versions 5.4.0 through 5.7.1, leverage registered Smarty modifiers including unserialize and file_get_contents to write a webshell to the web root and execute arbitrary commands as the web server user.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
