CVE-2026-35307
Kritisk

CVE-2026-35307: Kritisk sårbarhed i Oracle Coherence

Kritisk sårbarhed i Oracle Coherence giver angribere fuld kontrol over serveren uden login – CVSS 10.0.

CVSS Score
10
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

Oracle Coherence er et stykke serversoftware, der bruges til at dele og cache data hurtigt på tværs af flere servere. Det indgår typisk som en del af Oracle Fusion Middleware – en platform mange virksomheder bruger bag kulisserne i deres forretningssystemer.

Denne sårbarhed betyder, at en angriber via det almindelige HTTP-protokol (samme protokol som websider bruger) kan overtage Oracle Coherence fuldstændigt – uden at kende et brugernavn eller adgangskode, og uden at du eller dine medarbejdere behøver gøre noget forkert. CVSS-scoren er 10.0, som er den højest mulige alvorlighedsgrad.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der kører én af følgende versioner af Oracle Coherence:

  • Version 12.2.1.4.0
  • Version 14.1.1.0.0
  • Version 14.1.2.0.0
  • Version 15.1.1.0.0

Oracle Coherence bruges primært i mellemstore og større virksomheder, der har Oracle Fusion Middleware som en del af deres IT-infrastruktur – for eksempel til ERP-systemer (forretningsstyringssystemer), portaler eller andre enterprise-applikationer. Hvis du er i tvivl, bør du spørge din IT-leverandør eller systemadministrator, om I bruger Oracle Fusion Middleware.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:

  • Fuld overtagelse: Angriberen kan tage fuldstændig kontrol over den server, der kører Oracle Coherence.
  • Datatyveri: Al data, der behandles eller opbevares i systemet, kan læses og kopieres – herunder kundeoplysninger, forretningsdata og interne dokumenter.
  • Manipulation af data: Angriberen kan ændre eller slette data, hvilket kan føre til fejl i forretningsprocesser og regnskaber.
  • Nedbrud: Systemet kan gøres utilgængeligt, hvilket kan lamme virksomhedens drift.
  • Spredning til andre systemer: Fordi sårbarhedens omfang er markeret som ‘scope change’, kan et angreb sprede sig og påvirke andre systemer og applikationer, der er forbundet med Oracle Coherence.

Hvor alvorligt er det?

Dette er en sårbarhed med den højest mulige CVSS-score: 10.0 – Kritisk. Det skyldes en kombination af de værst tænkelige omstændigheder:

  • Ingen login krævet: Angriberen behøver ikke kendte brugeroplysninger.
  • Ingen brugerinteraktion: Du eller dine medarbejdere behøver ikke klikke på noget eller åbne en fil.
  • Lav angrebskompleksitet: Angrebet er ikke teknisk kompliceret at udføre.
  • Adgang via netværk: Angrebet kan udføres over internettet eller det interne netværk.
  • Fuld CIA-påvirkning: Fortrolighed (Confidentiality), integritet (Integrity) og tilgængelighed (Availability) er alle maksimalt påvirket.

Hvis dit system er eksponeret mod internettet, bør du behandle dette som en akut situation.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:

  1. Find ud af, om I er berørt: Kontakt din IT-leverandør eller systemadministrator og spørg, om I kører Oracle Coherence som del af Oracle Fusion Middleware, og hvilken version det er.
  2. Installér sikkerhedsopdateringen: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Sørg for, at din IT-ansvarlige installerer den hurtigst muligt.
  3. Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, bør I overveje at blokere adgangen til Oracle Coherence fra internettet via en firewall (netværkssikkerhedsbarriere), indtil rettelsen er på plads.
  4. Tjek logfiler: Bed din IT-ansvarlige om at gennemgå systemlogfiler for usædvanlig aktivitet, der kan indikere, at sårbarheden allerede er forsøgt udnyttet.
  5. Informér relevante parter: Hvis I behandler persondata, og der er mistanke om, at data er kompromitteret, skal I vurdere jeres forpligtelser under GDPR – herunder eventuel anmeldelse til Datatilsynet inden for 72 timer.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Med en CVSS-score på 10.0 er dette den mest alvorlige kategori af sårbarheder, og vi anbefaler, at du behandler det som en akut opgave. Kontakt din IT-leverandør i dag og få bekræftet, om I er berørt, og sørg for at sikkerhedsopdateringen fra Oracles Critical Patch Update bliver installeret øjeblikkeligt. Overvej at blokere ekstern adgang til systemet som en midlertidig foranstaltning, mens opdateringen forberedes. Du behøver ikke forstå de tekniske detaljer – det vigtigste er, at du sætter gang i processen nu.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle
Oracle offentliggjorde CVE-2026-35307 som en del af deres Critical Patch Update Advisory. Sårbarheden fik den maksimale CVSS-score på 10.0 og klassificeres som kritisk.
17/06/2026
Sikkerhedspatch tilgængelig
Oracle udgav samtidig med offentliggørelsen en officiel patch som del af Critical Patch Update. Alle berørte versioner (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 og 15.1.1.0.0) er dækket.
18/06/2026
Sikkerhedsforskere analyserer sårbarheden
Efter offentliggørelsen begyndte sikkerhedsforskere i miljøet at analysere sårbarhedens natur og omfang. Med en score på 10.0 og ingen krav til autentificering er sårbarhedstypen attraktiv for angribere.
20/06/2026
Proof-of-concept forventet i omløb
Baseret på historisk mønster for kritiske Oracle-sårbarheder (CVSS 10.0, ingen autentificering krævet) er det sandsynligt, at proof-of-concept exploit-kode vil dukke op i offentlige databaser inden for få dage efter offentliggørelsen. Det øger risikoen markant for ikke-patchede systemer.
17/09/2026
Næste Oracle Critical Patch Update
Oracles næste planlagte Critical Patch Update forventes i juli 2026. Virksomheder bør ikke vente til næste CPU-cyklus, men installere den allerede tilgængelige patch hurtigst muligt.

Konkrete eksempler

Angriber overtager server via HTTP

En angriber scanner internettet efter servere, der kører Oracle Coherence på standardporte. Uden at kende brugernavne eller adgangskoder sender angriberen en særligt udformet HTTP-forespørgsel til serveren. Serveren behandler forespørgslen og giver angriberen adgang til at udføre kommandoer – angriberen har nu fuld kontrol og kan installere ransomware (afpresningssoftware) eller stjæle data.

Intern angriber udnytter svagt netværk

En medarbejders bærbare computer inficeres med malware via en phishing-mail. Malwaren scanner det interne netværk og opdager, at virksomheden kører Oracle Coherence internt. Via den kompromitterede computer udnytter angriberen CVE-2026-35307 og får adgang til Oracle-serveren – og derfra videre til tilkoblede systemer som ERP og filserver.

Datatyveri fra cache-lagret forretningsdata

Oracle Coherence bruges til at cache (midlertidigt gemme) forretningsdata for hurtig adgang – for eksempel kundeoplysninger, ordredata eller prislister. En angriber, der udnytter sårbarheden, kan dumpe (kopiere) alt indhold fra denne cache uden at efterlade spor i de normale forretningssystemer. Virksomheden opdager måske aldrig tyveriet, medmindre de aktivt overvåger Oracle Coherence-serveren.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Core). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2026-35307
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.