CVE-2026-56700: Kritisk Grav CMS-sårbarhed — opdater nu
Kritisk sårbarhed i Grav CMS giver angribere fuld kontrol over din hjemmeside – opdater straks til version 2.0.0-beta.2.
Hvad er det?
Grav CMS er et populært indholdsstyringssystem (CMS) til hjemmesider. Denne sårbarhed dækker over tre forskellige fejl i systemet, der alle kan misbruges til at køre vilkårlig kode på din server — det vil sige, at en angriber kan udføre egne kommandoer på din computers styresystem.
Konkret skyldes problemerne:
- Usikker deserialisering (tre steder): Grav behandler gemt data på en usikker måde, så en angriber kan snige skadelig kode ind i systemet.
- OS-kommandoindsprøjtning: Ved installation af plugins eller temaer sendes parametre direkte til styresystemet uden sikkerhedstjek.
- Skabelonindsprøjtning (SSTI): En fejl i Gravs skabelonsystem giver mulighed for at omgå sikkerhedsfiltre og afvikle kode.
Fejlene er rettet i Grav CMS version 2.0.0-beta.2.
Hvem rammer det?
Sårbarheden rammer alle, der driver en hjemmeside bygget på Grav CMS i en version ældre end 2.0.0-beta.2. Det gælder typisk:
- Små og mellemstore virksomheder med Grav-baserede hjemmesider
- Webshops, porteføljesider og virksomhedshjemmesider bygget på Grav
- Organisationer, der bruger Grav som intranet eller dokumentationsplatform
OS-kommandoindsprøjtningsfejlen kræver, at angriberen har adgang som administrator på din Grav-installation. De øvrige fejl (usikker deserialisering og skabelonindsprøjtning) kan potentielt udnyttes uden login, da de kan nås over netværket uden særlige rettigheder.
Hvad kan ske?
Hvis en angriber udnytter disse sårbarheder, kan konsekvenserne være alvorlige:
- Fuld overtagelse af serveren: Angriberen kan køre egne programmer og kommandoer på din server.
- Datatyveri: Alle filer, databaser og fortrolige oplysninger på serveren kan læses og kopieres.
- Hjemmesidedefacement: Angriberen kan ændre eller slette indholdet på din hjemmeside.
- Installation af bagdøre: Skadelig software kan installeres, så angriberen bevarer adgang selv efter opdatering.
- Spredning til andre systemer: Er din server forbundet til andre interne systemer, kan angrebet sprede sig videre.
Den høje CVSS-score på 9,8 ud af 10 afspejler, at konsekvenserne rammer fortrolighed, integritet og tilgængelighed på serveren fuldt ud.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til kritisk med en CVSS-score på 9,8 ud af 10 — det er den næsthøjeste mulige score. Det betyder:
- Angrebet kan gennemføres over internettet uden fysisk adgang.
- Det kræver ingen særlige tekniske forudsætninger (lav kompleksitet).
- For deserialiserings- og skabelonfejlene kræves hverken brugernavn eller adgangskode.
- Angriberen opnår fuld kontrol over fortrolighed, data og tilgængelighed.
CWE-78 (OS Command Injection) og CWE-502 (Deserialization of Untrusted Data) er begge velkendte og velafprøvede angrebsmetoder, som erfarne angribere kender til og aktivt søger efter.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret skal gøre:
- Identificér om du bruger Grav CMS: Spørg din webudvikler eller webhost, hvilken platform din hjemmeside kører på, og hvilken version der er installeret.
- Opdater til Grav CMS 2.0.0-beta.2 eller nyere: Dette er den eneste komplette løsning. Kontakt din webudvikler og bed dem opdatere hurtigst muligt.
- Begræns adgang til adminpanelet: Som midlertidig foranstaltning kan adgangen til Grav’s administrationspanel begrænses til kendte IP-adresser (IP-hvidlistning).
- Gennemgå administratorkonti: Kontrollér, at kun betroede personer har administratoradgang til dit Grav-system, og fjern eventuelle ukendte konti.
- Tjek for tegn på kompromittering: Bed din it-ansvarlige eller webudvikler kigge serverlogfiler igennem for usædvanlig aktivitet siden 30. juni 2026.
- Tag backup nu: Sørg for at have en aktuel backup af hjemmeside og data, inden opdateringen foretages.
Opdater inden for 24-48 timer
Auroa anbefaler, at du kontakter din webudvikler eller webhost i dag og beder dem opdatere din Grav CMS-installation til version 2.0.0-beta.2. Denne sårbarhed er kritisk og kan udnyttes over internettet uden login — det giver angribere mulighed for at overtage din server fuldstændigt. Mens du venter på opdateringen, bør adgangen til administrationspanelet begrænses. Har du mistanke om, at din hjemmeside allerede er kompromitteret, bør du kontakte en cybersikkerhedsekspert med det samme.
Tidslinje
Konkrete eksempler
Angriber overtager server via usikker deserialisering
En angriber sender en særligt udformet HTTP-forespørgsel til din Grav-hjemmeside, der indeholder skadelig serialiseret PHP-data. Når Grav’s sessionshandling eller cache-system behandler denne forespørgsel, afvikles angriberens kode direkte på serveren. Angriberen kan herefter oprette en ‘bagdør’ (et skjult adgangspunkt) og have permanent adgang til din server, uden at du opdager det.
Skadelig plugin-installation via kompromitteret adminadgang
Forestil dig, at en medarbejder utilsigtet afslører sit administratorkodeord til Grav via en phishing-mail. Angriberen logger ind og installerer et plugin fra et ondsindet repositorie. Da Grav ikke tjekker de parametre, der sendes til styresystemet under installationen, kan angriberen indlejre OS-kommandoer i f.eks. repositoriets URL — og disse kommandoer udføres automatisk på din server under installationsprocessen.
Hjemmesideoverskrivning via skabelonindsprøjtning
En angriber finder en formular eller et inputfelt på din Grav-hjemmeside, der videregiver tekst til Twig-skabelonmotoren. Ved at omgå Gravs sikkerhedsblokliste kan angriberen indlejre Twig-skabelonkode i sit input, som afvikles på serveren. Resultatet kan være alt fra visning af følsomme systemoplysninger til fuldstændig overtagelse af serveren og sletning eller ændring af dit hjemmesideindhold.
Ofte stillede spørgsmål
Bruger jeg Grav CMS — hvordan finder jeg ud af det?
Du kan spørge den webudvikler eller det webbureau, der byggede din hjemmeside. Alternativt kan du logge ind på din hjemmesides administrationspanel og se efter Grav-logoet eller versionsnummeret. Din webhost kan også oplyse, hvilken platform der kører på din server.
Er det farligt at opdatere til en beta-version?
Det er en relevant bekymring. I dette tilfælde er 2.0.0-beta.2 den officielle sikkerhedsopdatering fra Grav-udviklerne, og den er den eneste måde at lukke disse kritiske huller på. Risikoen ved IKKE at opdatere er langt større end risikoen ved at installere den anbefalede beta-opdatering. Sørg for at tage en fuld backup inden opdateringen, så du kan rulle tilbage hvis nødvendigt.
Kan min hjemmeside allerede være hacket?
Det er muligt, da sårbarheden har været offentligt kendt siden 30. juni 2026. Tegn på kompromittering kan inkludere ændringer i hjemmesidens indhold, nye eller ukendte administratorkonti, usædvanlige filer på serveren eller uforklarlig serveraktivitet. Bed din it-ansvarlige eller webudvikler gennemgå logfiler og filsystemet for mistænkelig aktivitet.
Hvad betyder 'deserialisering' og hvorfor er det farligt?
Deserialisering er en teknisk proces, hvor et program omdanner gemt data tilbage til et aktivt objekt i hukommelsen. Hvis programmet ikke kontrollerer, hvad det data indeholder, kan en angriber putte skadelig kode ind i det gemte data — og når programmet så ‘læser’ det, udføres den skadelige kode automatisk. Det er præcis det, der sker i tre forskellige steder i de berørte versioner af Grav CMS.
Kræver angrebet, at nogen har mit administratorkodeord?
Ikke for alle tre sårbarheder. OS-kommandoindsprøjtningsfejlen kræver administratoradgang, men deserialiserings- og skabelonfejlene kan potentielt udnyttes uden login — direkte over internettet. Derfor er det vigtigt at opdatere, uanset om du har stærke adgangskoder eller ej.
Hvad gør jeg, hvis min webudvikler ikke reagerer hurtigt nok?
Som en midlertidig nødforanstaltning kan du kontakte din webhost og bede dem om at blokere for offentlig adgang til Grav’s administrationspanel (typisk mappen /admin) eller at sætte IP-begrænsning på det. Du kan også bede dem om midlertidigt at tage hjemmesiden offline, hvis du vurderer, at risikoen er for stor. Kontakt Auroa, hvis du har brug for akut hjælp.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Grav CMS before 2.0.0-beta.2 contains multiple code-execution vulnerabilities. Three unsafe unserialize() calls – in SchedulerJobQueue, FrameworkCacheAdapterFileCache, and Session – deserialize untrusted data without restricting allowed classes, enabling PHP object injection and, via a gadget chain, arbitrary code execution where an attacker controls the serialized input. Additionally, InstallCommand’s git clone operation passes the branch, url, and path parameters into a shell command without escaping, allowing OS command injection via plugin/theme installation (which requires admin access). A Twig security blocklist bypass (server-side template injection) is also present. The issues are fixed in 2.0.0-beta.2.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
