CVE-2026-35309
Kritisk

CVE-2026-35309: Kritisk sårbarhed i Oracle Coherence

Kritisk fejl i Oracle Coherence giver uautoriserede angribere fuld kontrol over systemet via netværket.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch straks — kritisk prioritet

Hvad er det?

CVE-2026-35309 er en kritisk sikkerhedssårbarhed i Oracle Coherence, som er en del af Oracle Fusion Middleware. Fejlen findes i en komponent kaldet ‘Centralized Third Party Jars’ – altså tredjepartsbiblioteker (eksterne kodepakker) der er bundtet med produktet. En angriber kan udnytte fejlen over netværket via HTTP (den normale webprotokol) uden at skulle logge ind eller have særlige rettigheder. Det kræver heller ikke, at en bruger gør noget. Resultatet er en fuldstændig overtagelse af det ramte system.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der anvender Oracle Coherence som del af Oracle Fusion Middleware i følgende versioner:

  • 12.2.1.4.0
  • 14.1.1.0.0
  • 14.1.2.0.0
  • 15.1.1.0.0

Oracle Coherence bruges typisk som et distribueret data-cache-system (et lag der gemmer data hurtigt tilgængeligt for applikationer) i mellemstore og store virksomhedsmiljøer. Er du usikker på om din virksomhed bruger produktet, bør du tjekke med din IT-leverandør.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende opnå fuld kontrol over det system, der kører Oracle Coherence. Det betyder konkret:

  • Fortrolighed (C): Angriberen kan læse alle data på systemet, herunder kundedata, forretningshemmeligheder og adgangskoder.
  • Integritet (I): Angriberen kan ændre eller slette data og konfigurationer.
  • Tilgængelighed (A): Angriberen kan lukke systemet ned og forhindre, at det fungerer normalt.

En vellykket angreb kan danne springbræt til resten af dit netværk og give adgang til andre systemer i virksomheden.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.8 ud af 10 (Kritisk) efter den internationale CVSS-skala. Det er næsten den højeste score, man kan opnå. Tre faktorer gør den særligt farlig:

  • Den kan udnyttes over internettet uden forudgående adgang eller login.
  • Den kræver ingen interaktion fra brugere i din virksomhed.
  • Den giver angriberen total kontrol – ikke blot delvis adgang.

Kombinationen af lav angrebskompleksitet og maksimal skadevirkning placerer denne sårbarhed i den absolutte topkategori.

Hvad gør jeg nu?

Handl hurtigt. Følg disse trin for at beskytte din virksomhed:

  1. Find ud af om du er ramt: Kontakt din IT-leverandør eller interne IT-afdeling og spørg om I bruger Oracle Coherence version 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 eller 15.1.1.0.0.
  2. Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update (CPU). Sørg for at opdateringen installeres hurtigst muligt.
  3. Begræns netværksadgang midlertidigt: Hvis en patch ikke kan installeres med det samme, så begræns adgangen til Oracle Coherence-servere fra eksterne netværk via firewall (netværksmur) som en midlertidig foranstaltning.
  4. Overvåg for mistænkelig aktivitet: Gennemgå logfiler (registreringer af systemhændelser) for usædvanlig aktivitet, særligt ukendte forbindelser til dine applikationsservere.
  5. Informér relevante parter: Hvis I behandler persondata, og der er mistanke om brud, kan I have pligt til at anmelde det til Datatilsynet inden for 72 timer.
Tidsfrist

Patch straks — kritisk prioritet

Sådan ser Auroa det

Med en CVSS-score på 9.8 og ingen krav til hverken login eller brugerinteraktion bør denne sårbarhed behandles som en akut hændelse. Vi anbefaler, at du kontakter din IT-leverandør i dag og beder om en plan for at installere Oracles seneste Critical Patch Update. Kan opdateringen ikke implementeres med det samme, bør adgangen til det berørte system afskæres fra internettet som en midlertidig løsning. Vent ikke — angribere scanner aktivt efter sårbare systemer.

Tidslinje

17/06/2026
CVE offentliggjort af NVD
Oracle offentliggør sårbarheden CVE-2026-35309 som del af deres Critical Patch Update-cyklus. CVSS-scoren fastsættes til 9.8 (Kritisk).
17/06/2026
Patch tilgængelig fra Oracle
Oracle frigiver en sikkerhedsopdatering der adresserer sårbarheden. Opdateringen er tilgængelig via Oracles officielle supportportal for berørte versioner.
18/06/2026
Proof-of-concept (PoC) forventes tilgængeligt
Baseret på sårbarhedens karakter og høje CVSS-score forventes sikkerhedsforskere at publicere tekniske detaljer og proof-of-concept-kode kort tid efter offentliggørelse, hvilket øger risikoen for aktiv udnyttelse.
20/06/2026
Aktiv scanning forventes
Erfaringsmæssigt begynder automatiserede angrebsværktøjer at scanne internettet for sårbare Oracle-installationer inden for dage efter offentliggørelse af kritiske sårbarheder som denne.

Konkrete eksempler

Direkte overtagelse via HTTP-forespørgsel

En angriber sender en særligt udformet HTTP-forespørgsel (en besked over internettet) direkte til jeres Oracle Coherence-server. Fordi fejlen sidder i et tredjepartsbibliotek der håndterer disse forespørgsler, kan angriberen eksekvere (køre) sin egen kode på serveren uden at have brugernavn eller adgangskode. Resultatet er fuld kontrol over serveren og alle data på den.

Springbræt til resten af netværket

En angriber overtager Oracle Coherence-serveren og bruger den som base til at angribe andre systemer inde i virksomhedens netværk — f.eks. en database med kundeoplysninger eller et regnskabssystem. Fordi angrebet sker indefra netværket, er mange interne systemer mindre beskyttede og lettere at kompromittere videre.

Ransomware-installation

Efter at have opnået fuld adgang via sårbarheden installerer angriberen ransomware (afpresningssoftware der krypterer jeres data) på serveren og eventuelle tilknyttede systemer. Virksomheden mister adgang til egne data og modtager krav om løsesum. Denne type angreb er en af de mest udbredte konsekvenser af kritiske netværkssårbarheder som denne.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-35309
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch straks — kritisk prioritet

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.