CVE-2026-35313
Kritisk

CVE-2026-35313: Kritisk fejl i Oracle Access Manager

Kritisk fejl i Oracle Access Manager lader angribere med simpel adgang overtage hele systemet via netværket.

CVSS Score
9.9
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch nu — kritisk sårbarhed

Hvad er det?

Oracle Access Manager er et system, der styrer login og adgangskontrol (hvem der må logge ind på hvad) i større it-miljøer. En kritisk sårbarhed i systemets autentificeringsmotor (den del der tjekker brugeridentiteter) gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele Oracle Access Manager via internettet. Angrebet kræver ingen særlige tekniske forudsætninger og kan udføres uden hjælp fra andre brugere. Fejlen er fundet i version 12.2.1.4.0 og 14.1.2.1.0.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Oracle Access Manager som en del af deres Oracle Fusion Middleware-platform til at håndtere brugerstyring og adgangskontrol. Det er typisk mellemstore og større virksomheder med Oracle-baserede it-systemer, men også SMV’er der anvender Oracle-løsninger som en del af outsourcet eller cloud-baseret drift kan være berørt. Hvis din virksomhed anvender Oracle Fusion Middleware, bør du straks tjekke om Oracle Access Manager er en del af opsætningen.

Hvad kan ske?

En angriber med en simpel brugerkonto — for eksempel en tidligere medarbejder eller en person der har gættet eller stjålet et login — kan via internettet fuldstændig overtage Oracle Access Manager. Det betyder at angriberen potentielt kan:

  • Få adgang til alle brugerkonti og passwords styret af systemet
  • Ændre eller slette data i tilknyttede systemer
  • Lukke for adgang til kritiske systemer (nedbrud/utilgængelighed)
  • Sprede sig videre til andre systemer, som Oracle Access Manager er forbundet til (scope change)

Konsekvenserne kan altså ramme langt ud over selve adgangsstyringssystemet og kompromittere hele virksomhedens it-infrastruktur.

Hvor alvorligt er det?

CVSS-scoren er 9,9 ud af 10 — Kritisk. Det er næsten det højest opnåelige niveau. Kombinationen af netværksbaseret angreb, lav kompleksitet, ingen behov for avancerede rettigheder og fuld påvirkning af fortrolighed, integritet og tilgængelighed gør dette til en ekstrem alvorlig sårbarhed. Dertil kommer, at angrebet kan påvirke andre systemer end Oracle Access Manager (scope change), hvilket forstærker alvoren markant.

Hvad gør jeg nu?

Handl hurtigt. Følg disse trin:

  1. Identificér om din virksomhed bruger Oracle Access Manager — spørg din it-leverandør eller it-ansvarlige om Oracle Fusion Middleware er i brug, og hvilken version der kører.
  2. Installer Oracles officielle sikkerhedsopdatering — Oracle udgiver sikkerhedsrettelser (patches) som en del af deres Critical Patch Update (CPU). Sørg for at disse installeres hurtigst muligt på berørte systemer.
  3. Begræns netværksadgang midlertidigt — hvis patching ikke kan ske med det samme, bør du overveje at begrænse adgangen til Oracle Access Manager fra det åbne internet via en firewall (netværksmur), indtil opdateringen er på plads.
  4. Gennemgå adgangslogfiler — bed din it-ansvarlige om at tjekke logfiler for mistænkelig aktivitet, særligt uventede logins eller ændringer i brugeradministrationen.
  5. Skift adgangskoder — overvej at nulstille adgangskoder for privilegerede brugere (administratorer) i systemer tilknyttet Oracle Access Manager som en ekstra sikkerhedsforanstaltning.
Tidsfrist

Patch nu — kritisk sårbarhed

Sådan ser Auroa det

Vi anbefaler på det kraftigste, at du kontakter din it-leverandør i dag og beder om en status på om Oracle Access Manager er berørt, og hvornår sikkerhedsopdateringen kan installeres. Med en CVSS-score på 9,9 og et angreb der ikke kræver avancerede kompetencer, er risikoen for udnyttelse meget høj. Jo hurtigere du handler, jo bedre er du stillet.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-35313 som en del af en Critical Patch Update (CPU). Sårbarheden tildeles den kritiske CVSS-score 9,9.
17/06/2026
Patch tilgængelig fra Oracle
Oracle frigiver sikkerhedsopdateringer til de berørte versioner 12.2.1.4.0 og 14.1.2.1.0 af Oracle Access Manager som en del af CPU-udgivelsen.
18/06/2026
Offentlig opmærksomhed og analyser
Sikkerhedsforskere og -miljøer begynder at analysere sårbarheden. Med en score på 9,9 forventes det, at proof-of-concept kode (demonstrationsangreb) offentliggøres inden for kort tid.
24/06/2026
Forventet øget udnyttelsesrisiko
Erfaringsmæssigt stiger risikoen for aktiv udnyttelse markant inden for de første to uger efter offentliggørelse af kritiske CVE'er, særligt når angrebet er lavt komplekst og kræver minimale rettigheder.

Konkrete eksempler

Tidligere medarbejder overtager adgangssystemet

En tidligere it-medarbejder, hvis brugerkonto ikke er blevet lukket korrekt, logger ind på Oracle Access Manager via internettet med sine gamle loginoplysninger. Grundet sårbarheden i autentificeringsmotoren kan vedkommende eskalere sin adgang og overtage hele systemet. Herefter ændrer angriberen administratorkodeord og lukker reelle medarbejdere ude fra virksomhedens systemer.

Phishing-angreb åbner døren

En angriber sender en falsk e-mail til en medarbejder og narrer vedkommende til at opgive sit brugernavn og kodeord (phishing). Med disse almindelige brugeroplysninger udnytter angriberen CVE-2026-35313 til at kompromittere Oracle Access Manager og dermed få adgang til alle de systemer, der er tilknyttet virksomhedens adgangsstyring — herunder økonomi-, HR- og kundesystemer.

Angriber fra datalæk på mørkt net

En angriber køber en liste med lækkede brugernavne og kodeord fra det mørke net (dark web), som stammer fra en tidligere datalæk hos en anden tjeneste. Mange brugere genbruger kodeord på tværs af systemer. Angriberen afprøver disse kombinationer mod Oracle Access Manager og lykkes med at logge ind som en lavprivilegeret bruger. Via CVE-2026-35313 overtager angriberen herefter hele adgangssystemet og installerer bagdøre (skjulte adgangsveje) til fremtidig misbrug.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Access Manager product of Oracle Fusion Middleware (component: Authentication Engine). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Access Manager. While the vulnerability is in Oracle Access Manager, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Access Manager. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-35313
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch nu — kritisk sårbarhed

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.