CVE-2026-35306
Kritisk

CVE-2026-35306: Kritisk sårbarhed i Oracle Coherence

Kritisk sårbarhed i Oracle Coherence 15.1.1.0.0 giver angribere fuldstændig adgang til dine data via internettet uden login.

CVSS Score
9.3
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 48-72 timer

Hvad er det?

Oracle Coherence er en datahåndteringskomponent i Oracle Fusion Middleware — et softwarelag, som mange virksomheder bruger til at drive forretningsapplikationer. Sårbarheden findes i en tredjeparts-komponent (et eksternt kodebibliotek) bundtet med Oracle Coherence version 15.1.1.0.0. En angriber kan udnytte fejlen over internettet via HTTP (normal webtrafik) uden at have et brugernavn, adgangskode eller andre forudgående rettigheder. Angrebet kræver ingen handling fra dig eller dine medarbejdere for at lykkes.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der kører Oracle Coherence version 15.1.1.0.0 som del af Oracle Fusion Middleware. Det drejer sig typisk om mellemstore til større virksomheder med Oracle-baserede forretningssystemer — eksempelvis ERP-, CRM- eller datahåndteringsplatforme. Hvis din virksomhed bruger Oracle Fusion Middleware, bør du straks undersøge, om den pågældende version er i brug hos jer eller hos en leverandør, der drifter jeres systemer.

Hvad kan ske?

En vellykket udnyttelse kan give en angriber to typer skade:

  • Datatyveri: Angriberen kan få fuldstændig, uautoriseret adgang til alle data, som Oracle Coherence har adgang til — det kan inkludere kundedata, forretningskritiske oplysninger og personfølsomme data.
  • Datamanipulation: Angriberen kan indsætte, ændre eller slette udvalgte data i systemet uden din viden.

Derudover er sårbarheden klassificeret som et scope change-angreb, hvilket betyder, at konsekvenserne kan sprede sig ud over selve Oracle Coherence og påvirke andre systemer i samme infrastruktur.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.3 ud af 10 (Kritisk) efter den internationale CVSS-standard. Det er en af de højeste mulige scorer. Den høje score skyldes en kombination af faktorer: angrebet kan udføres over internettet, kræver ingen forudgående adgang eller brugerinteraktion, og konsekvenserne rammer fortrolighed og dataintegritet alvorligt. Desuden kan angrebet sprede sig til andre systemer. Du bør behandle dette med høj prioritet.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt:

  1. Find ud af om I er ramt: Kontakt jeres IT-ansvarlige eller leverandør og spørg specifikt, om I kører Oracle Coherence version 15.1.1.0.0 som del af Oracle Fusion Middleware.
  2. Tjek Oracle Critical Patch Update: Gå til Oracles officielle sikkerhedsopdateringsside og se, om der er udgivet en patch (rettelse) til denne sårbarhed. Oracle udgiver typisk Critical Patch Updates kvartalsvist.
  3. Installer opdateringen: Hvis en patch er tilgængelig, sørg for at den installeres hurtigst muligt — planlæg det inden for få dage, ikke uger.
  4. Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, så overvej at begrænse HTTP-adgangen til Oracle Coherence fra det åbne internet via en firewall, indtil patchen er på plads.
  5. Underret relevante parter: Hvis I håndterer persondata, vurdér om I har pligt til at anmelde et potentielt databrud til Datatilsynet inden for 72 timer fra opdagelsen.
Tidsfrist

Patch inden for 48-72 timer

Sådan ser Auroa det

Med en CVSS-score på 9.3 og ingen krav til hverken login eller brugerinteraktion er dette en sårbarhed, der skal håndteres som en akut hændelse. Vi anbefaler, at du kontakter din IT-leverandør i dag og beder om en skriftlig bekræftelse på, at Oracle Coherence enten ikke er i jeres miljø, eller at patch-processen er igangsat. Undlad at vente på næste planlagte vedligeholdelsesvindue — denne sårbarhed berettiger en ekstraordinær opdatering.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-35306 som del af sin Critical Patch Update-cyklus. Sårbarheden tildeles en CVSS-score på 9.3 (Kritisk).
17/06/2026
Patch tilgængelig fra Oracle
Oracle frigiver rettelse som del af Critical Patch Update. Administratorer opfordres til øjeblikkelig installation.
18/06/2026
Proof-of-concept potentielt tilgængeligt
Historisk set offentliggøres proof-of-concept-udnyttelseskode for kritiske Oracle-sårbarheder inden for 24-72 timer efter offentliggørelse, hvilket øger risikoen markant.
20/06/2026
Vindue for aktiv udnyttelse åbner
Systemer, der endnu ikke er opdateret, befinder sig i et kritisk risikovindue. Angribere scanner aktivt for sårbare Oracle-installationer eksponeret mod internettet.

Konkrete eksempler

Datatyveri via ubeskyttet HTTP-adgang

En angriber scanner internettet for systemer, der kører Oracle Coherence 15.1.1.0.0, og finder en virksomheds eksponerede applikationsserver. Ved at sende en særligt udformet HTTP-forespørgsel — uden brugernavn eller adgangskode — tilgår angriberen alle data i Coherence-cachen, herunder kundeoplysninger, ordrehistorik og måske betalingsdata. Virksomheden opdager det ikke, fordi angrebet ligner normal trafik.

Datamanipulation som sabotage eller svindel

En angriber udnytter sårbarheden til ikke bare at læse, men også ændre data i Oracle Coherence. I en virksomhed, der bruger systemet til at håndtere lagerstatus eller prissætning, kan angriberen manipulere disse værdier. Det kan føre til fejlagtige ordrer, forkerte fakturaer eller tab af forretningskritisk dataintegritet — uden at der efterlades tydelige spor.

Scope change: Springbræt til andre systemer

Fordi sårbarheden er klassificeret med ‘scope change’, kan en angriber bruge det kompromitterede Oracle Coherence-system som et indgangspunkt til at bevæge sig videre i virksomhedens netværk. Fra Coherence-serveren kan angriberen forsøge at tilgå databaser, andre applikationsservere eller interne administrative systemer — et angrebsmønster der kendes som ‘lateral movement’ (sideværts bevægelse i netværket).

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). The supported version that is affected is 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Coherence accessible data as well as unauthorized update, insert or delete access to some of Oracle Coherence accessible data. CVSS 3.1 Base Score 9.3 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-35306
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 48-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.