CVE-2026-35316: Kritisk sårbarhed i Oracle WebCenter Content
Kritisk sårbarhed i Oracle WebCenter Content giver angribere med blot en brugerkonto fuld kontrol over systemet via internettet.
Hvad er det?
CVE-2026-35316 er en kritisk sårbarhed i Oracle WebCenter Content, som er Oracles platform til dokumenthåndtering og indholdsstyring. Fejlen befinder sig i selve Content Server-komponenten og gør det muligt for en angriber, der kun har en almindelig brugerkonto, at overtage hele systemet via en normal HTTP-forbindelse over internettet. Der kræves ingen teknisk snilde eller særlig adgang — blot en gyldig login. Sårbarhederne rammer version 12.2.1.4.0 og 14.1.2.0.0. Angrebet kan desuden brede sig til andre systemer, der er forbundet med WebCenter Content, hvilket gør skadeomfanget potentielt meget stort.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Content i version 12.2.1.4.0 eller 14.1.2.0.0. Det gælder typisk mellemstore og større virksomheder, offentlige institutioner samt Oracle Fusion Middleware-kunder, der håndterer dokumenter, kontrakter eller andet forretningskritisk indhold digitalt. Har du en installation af Oracle WebCenter Content, der er tilgængelig via netværket, er du potentielt i risiko — selv hvis adgang kræver login.
Hvad kan ske?
En angriber med blot en simpel brugerkonto kan udnytte sårbarheden til at overtage hele Oracle WebCenter Content-installationen. Det betyder i praksis:
- Fuld adgang til alle dokumenter og filer gemt i systemet — inkl. kontrakter, personfølsomme data og fortrolige forretningsdokumenter.
- Mulighed for at ændre eller slette indhold, hvilket kan kompromittere dataintegritet og forretningsprocesser.
- Systemet kan gøres utilgængeligt (nedbrud/ransomware-lignende scenarie).
- Angrebet kan sprede sig til andre systemer og applikationer, der er koblet på WebCenter Content, da angrebet medfører et såkaldt scope change (brud der krydser systemgrænser).
Hvor alvorligt er det?
Denne sårbarhed er bedømt til CVSS 9.9 ud af 10 — Kritisk. Det er næsten den højest mulige score. Kombinationen af faktorer gør den særlig farlig: angrebet kan udføres over internettet, kræver lav teknisk kompleksitet, forudsætter kun en normal brugerkonto, og kræver ingen handling fra andre brugere. Derudover kan angrebet påvirke andre systemer end det direkte ramte. Alle tre sikkerhedsprincipper — fortrolighed, integritet og tilgængelighed — er fuldt kompromitterede ved et vellykket angreb.
Hvad gør jeg nu?
Har du Oracle WebCenter Content installeret, bør du handle hurtigt. Her er hvad du skal gøre:
- Identificér dine installationer: Kontakt din IT-leverandør eller interne IT-ansvarlig og find ud af, om I bruger Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0.
- Installér Oracles sikkerhedspatch straks: Oracle har udsendt en patch som del af Critical Patch Update (CPU). Få den installeret hurtigst muligt — prioritér dette over normal vedligeholdelse.
- Begræns netværksadgang midlertidigt: Hvis patchen ikke kan installeres med det samme, så overvej at begrænse adgangen til systemet via firewall (netværksbeskyttelse) til kun kendte og nødvendige brugere og IP-adresser.
- Gennemgå adgangslogge: Bed din IT-leverandør om at kigge efter mistænkelig aktivitet i systemet for at vurdere om nogen allerede har udnyttet sårbarheden.
- Underret relevante parter: Hvis I håndterer persondata, og der er mistanke om brud, skal du muligvis anmelde det til Datatilsynet inden for 72 timer jf. GDPR.
Patch straks — kritisk risiko
Vi anbefaler, at du behandler denne sårbarhed som en akut opgave og får installeret Oracles sikkerhedspatch hurtigst muligt — helst inden for 24-48 timer. Scorer en sårbarhed 9.9 i alvorlighed og kan angribes med blot en brugerkonto, er risikoen for udnyttelse meget høj. Har du ikke intern IT-ekspertise til at håndtere patchen, så kontakt din IT-leverandør i dag og bed dem prioritere det. Overvej også at lukke ekstern adgang til systemet midlertidigt, mens patchen forberedes.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang overtager systemet
En angriber — eller en utilfreds medarbejder — logger ind i Oracle WebCenter Content med en helt almindelig brugerkonto, f.eks. en regnskabsmedarbejders login. Via sårbarheden eskalerer angriberen sine rettigheder og får fuld administratoradgang til systemet. Herfra kan vedkommende tilgå, downloade og slette alle dokumenter i systemet — herunder kontrakter, lønsedler og fortrolig korrespondance.
Phishing åbner døren til fuld systemovertagelse
En angriber sender en phishing-mail til en medarbejder og narrer vedkommende til at opgive sine loginoplysninger til virksomhedens Oracle-system. Med disse oplysninger udnytter angriberen CVE-2026-35316 til at overtage hele WebCenter Content-installationen. Angriberen installerer derefter bagdøre (skjulte adgangsveje) og eksfiltrerer (kopierer ud) alle gemte dokumenter, inden nogen opdager angrebet.
Angreb spreder sig til andre systemer
En angriber udnytter sårbarheden til at kompromittere Oracle WebCenter Content og bruger denne adgang som springbræt til andre Oracle Fusion Middleware-systemer og interne virksomhedssystemer, der er integreret med platformen. Angrebet eskalerer fra ét kompromitteret dokumentsystem til en bred kompromittering af virksomhedens IT-infrastruktur — med potentiale for ransomware-angreb eller datatyveri i stor skala.
Ofte stillede spørgsmål
Hvad er Oracle WebCenter Content?
Oracle WebCenter Content er en softwareplatform fra Oracle, der bruges til at gemme, organisere og dele dokumenter og digitalt indhold i en virksomhed. Det er en del af Oracle Fusion Middleware-familien og bruges typisk i mellemstore og større organisationer til dokumenthåndtering, arkivering og samarbejde om forretningsdokumenter.
Skal man have en brugerkonto for at udnytte sårbarheden?
Ja — men kun en helt almindelig brugerkonto. Angriberen behøver ikke at være administrator eller have særlige rettigheder. Det betyder, at en utilfreds medarbejder, en eks-ansat med aktiv konto eller en angriber der har fået fat i blot ét sæt loginoplysninger, kan overtage hele systemet.
Kan angrebet sprede sig til andre systemer?
Ja. Sårbarheden er klassificeret med et såkaldt scope change, hvilket i sikkerhedstermer betyder, at et vellykket angreb kan påvirke systemer og applikationer, der er forbundet med Oracle WebCenter Content. Har du andre Oracle-systemer eller forretningssystemer koblet på, kan skaden potentielt brede sig.
Hvordan ved jeg, om vi bruger den sårbare version?
De ramte versioner er 12.2.1.4.0 og 14.1.2.0.0. Din IT-leverandør eller den person, der administrerer jeres Oracle-systemer, kan tjekke versionsnummeret i administrationsgrænsefladen eller i systemdokumentationen. Er du i tvivl, så spørg din leverandør direkte og bed dem bekræfte versionen skriftligt.
Hvad gør jeg, hvis vi ikke kan patche med det samme?
Som en midlertidig foranstaltning bør du bede din IT-leverandør om at begrænse adgangen til Oracle WebCenter Content via firewall, så kun de brugere og systemer, der absolut har brug for adgang, kan nå systemet. Deaktivér desuden alle brugerkonti, der ikke er i aktiv brug. Dette reducerer angrebsfladen, men er ikke en permanent løsning — patchen skal stadig installeres hurtigst muligt.
Er vi forpligtede til at anmelde et eventuelt brud til Datatilsynet?
Hvis I håndterer personoplysninger i Oracle WebCenter Content, og der er mistanke om eller bevis for, at en angriber har haft adgang til disse data, er I som udgangspunkt forpligtede til at anmelde bruddet til Datatilsynet inden for 72 timer under GDPR. Kontakt evt. en juridisk rådgiver eller Auroa for vurdering af jeres konkrete situation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Content. While the vulnerability is in Oracle WebCenter Content, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
