CVE-2026-35306: Kritisk sårbarhed i Oracle Coherence
Kritisk sårbarhed i Oracle Coherence 15.1.1.0.0 giver angribere fuldstændig adgang til dine data via internettet uden login.
Hvad er det?
Oracle Coherence er en datahåndteringskomponent i Oracle Fusion Middleware — et softwarelag, som mange virksomheder bruger til at drive forretningsapplikationer. Sårbarheden findes i en tredjeparts-komponent (et eksternt kodebibliotek) bundtet med Oracle Coherence version 15.1.1.0.0. En angriber kan udnytte fejlen over internettet via HTTP (normal webtrafik) uden at have et brugernavn, adgangskode eller andre forudgående rettigheder. Angrebet kræver ingen handling fra dig eller dine medarbejdere for at lykkes.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle Coherence version 15.1.1.0.0 som del af Oracle Fusion Middleware. Det drejer sig typisk om mellemstore til større virksomheder med Oracle-baserede forretningssystemer — eksempelvis ERP-, CRM- eller datahåndteringsplatforme. Hvis din virksomhed bruger Oracle Fusion Middleware, bør du straks undersøge, om den pågældende version er i brug hos jer eller hos en leverandør, der drifter jeres systemer.
Hvad kan ske?
En vellykket udnyttelse kan give en angriber to typer skade:
- Datatyveri: Angriberen kan få fuldstændig, uautoriseret adgang til alle data, som Oracle Coherence har adgang til — det kan inkludere kundedata, forretningskritiske oplysninger og personfølsomme data.
- Datamanipulation: Angriberen kan indsætte, ændre eller slette udvalgte data i systemet uden din viden.
Derudover er sårbarheden klassificeret som et scope change-angreb, hvilket betyder, at konsekvenserne kan sprede sig ud over selve Oracle Coherence og påvirke andre systemer i samme infrastruktur.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.3 ud af 10 (Kritisk) efter den internationale CVSS-standard. Det er en af de højeste mulige scorer. Den høje score skyldes en kombination af faktorer: angrebet kan udføres over internettet, kræver ingen forudgående adgang eller brugerinteraktion, og konsekvenserne rammer fortrolighed og dataintegritet alvorligt. Desuden kan angrebet sprede sig til andre systemer. Du bør behandle dette med høj prioritet.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt:
- Find ud af om I er ramt: Kontakt jeres IT-ansvarlige eller leverandør og spørg specifikt, om I kører Oracle Coherence version 15.1.1.0.0 som del af Oracle Fusion Middleware.
- Tjek Oracle Critical Patch Update: Gå til Oracles officielle sikkerhedsopdateringsside og se, om der er udgivet en patch (rettelse) til denne sårbarhed. Oracle udgiver typisk Critical Patch Updates kvartalsvist.
- Installer opdateringen: Hvis en patch er tilgængelig, sørg for at den installeres hurtigst muligt — planlæg det inden for få dage, ikke uger.
- Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, så overvej at begrænse HTTP-adgangen til Oracle Coherence fra det åbne internet via en firewall, indtil patchen er på plads.
- Underret relevante parter: Hvis I håndterer persondata, vurdér om I har pligt til at anmelde et potentielt databrud til Datatilsynet inden for 72 timer fra opdagelsen.
Patch inden for 48-72 timer
Med en CVSS-score på 9.3 og ingen krav til hverken login eller brugerinteraktion er dette en sårbarhed, der skal håndteres som en akut hændelse. Vi anbefaler, at du kontakter din IT-leverandør i dag og beder om en skriftlig bekræftelse på, at Oracle Coherence enten ikke er i jeres miljø, eller at patch-processen er igangsat. Undlad at vente på næste planlagte vedligeholdelsesvindue — denne sårbarhed berettiger en ekstraordinær opdatering.
Tidslinje
Konkrete eksempler
Datatyveri via ubeskyttet HTTP-adgang
En angriber scanner internettet for systemer, der kører Oracle Coherence 15.1.1.0.0, og finder en virksomheds eksponerede applikationsserver. Ved at sende en særligt udformet HTTP-forespørgsel — uden brugernavn eller adgangskode — tilgår angriberen alle data i Coherence-cachen, herunder kundeoplysninger, ordrehistorik og måske betalingsdata. Virksomheden opdager det ikke, fordi angrebet ligner normal trafik.
Datamanipulation som sabotage eller svindel
En angriber udnytter sårbarheden til ikke bare at læse, men også ændre data i Oracle Coherence. I en virksomhed, der bruger systemet til at håndtere lagerstatus eller prissætning, kan angriberen manipulere disse værdier. Det kan føre til fejlagtige ordrer, forkerte fakturaer eller tab af forretningskritisk dataintegritet — uden at der efterlades tydelige spor.
Scope change: Springbræt til andre systemer
Fordi sårbarheden er klassificeret med ‘scope change’, kan en angriber bruge det kompromitterede Oracle Coherence-system som et indgangspunkt til at bevæge sig videre i virksomhedens netværk. Fra Coherence-serveren kan angriberen forsøge at tilgå databaser, andre applikationsservere eller interne administrative systemer — et angrebsmønster der kendes som ‘lateral movement’ (sideværts bevægelse i netværket).
Ofte stillede spørgsmål
Vi bruger Oracle, men ved ikke hvilken version — er vi i fare?
Det er muligt. Bed jeres IT-ansvarlige eller Oracle-leverandør om straks at identificere alle Oracle Fusion Middleware-komponenter i jeres miljø, herunder versionsnummeret på Oracle Coherence. Det er den eneste måde at vide det med sikkerhed.
Hvad er et 'scope change'-angreb?
Det betyder, at et vellykket angreb ikke kun påvirker det direkte ramte system (Oracle Coherence), men potentielt også andre systemer og data, som er forbundet til det. Tænk på det som en dominoeffekt — angriberen kan bruge det ene system som springbræt til resten af jeres infrastruktur.
Skal vi anmelde dette til Datatilsynet?
Kun hvis I har konstateret eller har begrundet mistanke om, at et faktisk databrud har fundet sted — altså at en angriber har udnyttet sårbarheden og tilgået persondata. En sårbarhed i sig selv udløser ikke anmeldelsespligt, men et konkret brud skal anmeldes inden for 72 timer. Er I i tvivl, kontakt en juridisk rådgiver eller Datatilsynet direkte.
Kan vi bare vente til Oracles næste kvartalsvise opdatering?
Det frarådes kraftigt. Med en kritisk CVSS-score på 9.3 og et angreb, der ikke kræver login eller brugerinteraktion, er risikoen for aktiv udnyttelse høj. Oracle kan udgive en out-of-band (ekstraordinær) patch, og vi anbefaler, at I følger Oracles sikkerhedsbulletiner tæt og handler, så snart en patch er tilgængelig.
Hvad er 'Centralized Third Party Jars', og hvorfor er det et problem?
‘Jars’ er kodebiblioteker (JAR-filer) udviklet af tredjepart, som Oracle har inkluderet i sit produkt. Problemet er, at disse biblioteker kan indeholde egne sårbarheder, som Oracle ikke selv har skrevet — men som stadig påvirker Oracles produkt. Det er en velkendt udfordring i softwareverdenen kaldet ‘supply chain-risiko’ (risiko i leverandørkæden).
Hvad gør vi, hvis vores Oracle-system driftes af en ekstern leverandør?
Kontakt leverandøren skriftligt i dag og bed om en redegørelse for: om den sårbare version er i brug, hvornår de forventer at have patchen installeret, og om der er tegn på, at systemet allerede er forsøgt angrebet. Gem leverandørens svar — det er vigtigt dokumentation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). The supported version that is affected is 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Coherence accessible data as well as unauthorized update, insert or delete access to some of Oracle Coherence accessible data. CVSS 3.1 Base Score 9.3 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
