CVE-2026-35312
Kritisk

CVE-2026-35312: Kritisk fejl i Oracle Virtual Directory

Kritisk fejl i Oracle Virtual Directory lader angribere overtage systemet uden login via netværket.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch straks — kritisk sårbarhed

Hvad er det?

Oracle Virtual Directory er et stykke software fra Oracle, der bruges til at samle og administrere brugeroplysninger fra flere forskellige kataloger (fx Active Directory) ét centralt sted. Det kommunikerer via en protokol kaldet LDAP (Lightweight Directory Access Protocol), som bruges til at slå brugere og adgangskoder op i et netværk.

Denne sårbarhed betyder, at en angriber uden nogen form for login eller særlige rettigheder kan sende ondsindede LDAP-forespørgsler direkte til systemet over netværket og dermed overtage hele Oracle Virtual Directory-installationen.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Oracle Virtual Directory i version 12.2.1.4.0 eller 14.1.2.0.0 som del af Oracle Fusion Middleware. Det er typisk større it-infrastrukturer, der administrerer mange brugere centralt — for eksempel virksomheder med mange medarbejdere, der logger ind på fælles systemer, eller organisationer med komplekse it-miljøer.

Har du Oracle Fusion Middleware installeret i din virksomhed, bør du straks undersøge, om Oracle Virtual Directory er en del af din installation.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:

  • Fuld overtagelse af Oracle Virtual Directory-serveren — angriberen får administratoradgang.
  • Adgang til fortrolige brugerdata, herunder brugernavne, adgangskoder og organisationsoplysninger.
  • Manipulation af brugerdata — angriberen kan ændre, slette eller indsætte falske oplysninger i kataloget.
  • Nedbrud af systemet — tjenesten kan gøres utilgængelig, så medarbejdere ikke kan logge ind på virksomhedens systemer.
  • Springbræt til videre angreb — adgang til brugerkataloget kan bruges til at kompromittere andre systemer i virksomheden.

Hvor alvorligt er det?

Denne sårbarhed er vurderet til 9,8 ud af 10 på CVSS-skalaen, hvilket er en kritisk score. Det skyldes en kombination af meget uheldige faktorer:

  • Angrebet kræver ingen forudgående adgang eller login.
  • Det kan udføres direkte over netværket uden fysisk tilstedeværelse.
  • Det er let at udføre — der kræves ingen avancerede tekniske færdigheder.
  • Det kræver ingen handling fra brugere i din virksomhed.
  • Konsekvenserne rammer alle tre sikkerhedsparametre: fortrolighed, integritet og tilgængelighed.

Kort sagt: En angriber med netværksadgang kan uden besvær overtage systemet fuldstændigt.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt:

  1. Undersøg din installation: Kontakt din it-ansvarlige eller leverandør og find ud af, om Oracle Virtual Directory (version 12.2.1.4.0 eller 14.1.2.0.0) er installeret i din virksomhed.
  2. Isolér systemet midlertidigt: Hvis du bruger Oracle Virtual Directory og ikke kan patche med det samme, så begræns adgangen til LDAP-porten (typisk port 389 eller 636) via en firewall, så kun nødvendige systemer kan kommunikere med serveren.
  3. Installer Oracles sikkerhedsopdatering: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU)-program. Installer den relevante opdatering til Oracle Virtual Directory hurtigst muligt.
  4. Overvåg dine logfiler: Tjek om der har været usædvanlig LDAP-aktivitet på serveren, som kan indikere, at nogen allerede har forsøgt at udnytte sårbarheden.
  5. Orienter din it-leverandør: Har du en ekstern it-partner, skal de informeres og involveres i håndteringen straks.
Tidsfrist

Patch straks — kritisk sårbarhed

Sådan ser Auroa det

På grund af den ekstremt høje alvorlighed og det lave krav til angriberens færdigheder anbefaler vi, at du behandler dette som en akut sikkerhedshændelse. Installer Oracles officielle patch øjeblikkeligt, og begræns i mellemtiden netværksadgangen til LDAP-tjenesten via din firewall. Har du ikke selv ressourcerne til at håndtere dette, så kontakt en it-sikkerhedskonsulent i dag.

Tidslinje

17/06/2026
CVE-2026-35312 offentliggjort
Oracle offentliggør sårbarheden som del af deres Critical Patch Update-program. Sårbarheden tildeles en CVSS-score på 9,8 (Kritisk).
17/06/2026
Patch frigivet af Oracle
Oracle udgiver en officiel sikkerhedsopdatering til Oracle Virtual Directory version 12.2.1.4.0 og 14.1.2.0.0 som en del af den samme Critical Patch Update-cyklus.
18/06/2026
Sikkerhedsforskere analyserer sårbarheden
Efter offentliggørelsen begynder sikkerhedsforskere at analysere den tekniske detalje i fejlen, og proof-of-concept-eksempler forventes at dukke op inden for kort tid.
24/06/2026
Udnyttelse forventet i stigende grad
Historisk set begynder angribere aktivt at scanne efter og udnytte kritiske LDAP-sårbarheder inden for 1-2 uger efter offentliggørelse. Virksomheder, der ikke har patchet, er i høj risiko.

Konkrete eksempler

Direkte netværksangreb mod LDAP-port

En angriber scanner internettet for servere, der har Oracle Virtual Directory’s LDAP-port (port 389) åben. Når de finder en sårbar server, sender de en særligt udformet LDAP-forespørgsel, der udnytter fejlen og giver dem fuld administratoradgang — alt dette uden at kende et eneste brugernavn eller adgangskode fra virksomheden.

Intern trussel via kompromitteret enhed

En medarbejders bærbare computer inficeres med malware via en phishing-mail. Malwaren opdager Oracle Virtual Directory på det interne netværk og udnytter CVE-2026-35312 til at overtage brugerkataloget. Angriberen kan nu oprette falske administratorkonti og tilgå virksomhedens øvrige systemer uopdaget.

Datatyveri af brugeroplysninger

En angriber udnytter sårbarheden til at kopiere hele brugerkataloget fra Oracle Virtual Directory — herunder brugernavne, e-mailadresser og i værste fald hashede adgangskoder. Disse oplysninger kan efterfølgende bruges til at forsøge at bryde ind på andre systemer eller sælges på det mørke net.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Virtual Directory product of Oracle Fusion Middleware (component: Virtual Directory Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via LDAP to compromise Oracle Virtual Directory. Successful attacks of this vulnerability can result in takeover of Oracle Virtual Directory. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-35312
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch straks — kritisk sårbarhed

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.