CVE-2026-35319: Kritisk fejl i Oracle WebCenter Content
Kritisk fejl i Oracle WebCenter Content giver angribere fuld adgang uden login – opdater straks.
Hvad er det?
CVE-2026-35319 er en kritisk sikkerhedssårbarhed i Oracle WebCenter Content, som er et system til håndtering og deling af dokumenter og indhold i virksomheder. Fejlen sidder i den komponent, der hedder Content Server.
Sårbarheden gør det muligt for en angriber at overtage hele systemet uden at have et brugernavn eller adgangskode. Det eneste, angriberen behøver, er adgang til netværket via almindelig HTTP-trafik. Der kræves ingen særlige tekniske færdigheder, og offeret behøver ikke klikke på noget eller gøre noget forkert.
Hvem rammer det?
Sårbarheden rammer organisationer, der kører en af følgende versioner af Oracle WebCenter Content:
- Version 12.2.1.4.0
- Version 14.1.2.0.0
Det drejer sig typisk om mellemstore og større virksomheder samt offentlige institutioner, der bruger Oracle Fusion Middleware som en del af deres IT-infrastruktur til dokumentstyring. Hvis dit system er tilgængeligt fra internettet, er risikoen særligt høj.
Hvad kan ske?
En vellykket udnyttelse af denne sårbarhed kan resultere i fuldstændig overtagelse af Oracle WebCenter Content-systemet. Det betyder i praksis:
- Datakompromittering: Angriberen kan læse alle fortrolige dokumenter og filer i systemet.
- Datamanipulation: Angriberen kan ændre, slette eller indsætte indhold og dokumenter.
- Systemnedbrud: Angriberen kan gøre systemet utilgængeligt for dine medarbejdere og kunder.
- Springbræt: Det kompromitterede system kan bruges til at angribe andre dele af din IT-infrastruktur.
Hvor alvorligt er det?
Oracle og det internationale klassificeringssystem CVSS (Common Vulnerability Scoring System) giver denne sårbarhed den højest mulige alvorlighedsgrad: Kritisk med en score på 9.8 ud af 10.
Baggrunden for den høje score er, at sårbarheden:
- Kan udnyttes over netværket – angriberen behøver ikke fysisk adgang.
- Er let at udnytte – kræver ingen særlige tekniske forudsætninger.
- Kræver ingen login-oplysninger.
- Kræver ingen handling fra din side eller dine medarbejderes side.
- Giver angriberen fuld kontrol over systemets fortrolighed, integritet og tilgængelighed.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er de konkrete skridt, du skal tage:
- Kortlæg dit system: Find ud af om din organisation bruger Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0. Spørg din IT-ansvarlige eller leverandør.
- Installer Oracles patch: Oracle har udgivet en sikkerhedsopdatering som en del af deres Critical Patch Update. Installer den hurtigst muligt.
- Begræns netværksadgangen midlertidigt: Hvis du ikke kan patche med det samme, så sørg for at systemet ikke er tilgængeligt fra internettet – f.eks. ved hjælp af en firewall (et digitalt hegn der styrer netværkstrafik).
- Tjek for tegn på angreb: Bed din IT-ansvarlige gennemgå systemlogs (registreringer af aktivitet) for at se, om der allerede har været mistænkelig aktivitet.
- Orientér relevante parter: Hvis I behandler persondata, og systemet kan være kompromitteret, skal du muligvis anmelde det til Datatilsynet inden for 72 timer.
Patch straks – kritisk risiko
Med en CVSS-score på 9.8 og ingen krav om login eller brugerinteraktion er dette en af de mest alvorlige typer sårbarheder, der findes. Vi anbefaler på det kraftigste, at du får installeret Oracles sikkerhedsopdatering inden for 24-48 timer. Kan det ikke lade sig gøre, skal systemet isoleres fra internettet, indtil opdateringen er på plads. Kontakt os gerne, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen.
Tidslinje
Konkrete eksempler
Automatisk scanning og overtagelse
En angriber kører et automatisk scanningsværktøj på internettet og finder en virksomheds Oracle WebCenter Content-server, som er tilgængelig uden VPN. Ved hjælp af en simpel HTTP-forespørgsel udnytter angriberen sårbarheden og opnår fuld administratoradgang til systemet – alt sammen uden brugernavn eller adgangskode. Angriberen kan nu downloade alle virksomhedens dokumenter og kontrakter.
Ransomware-angreb via WebCenter Content
En kriminel gruppe kompromitterer et WebCenter Content-system og bruger den opnåede adgang som et springbræt ind i virksomhedens interne netværk. Herfra installerer de ransomware (software der krypterer dine filer og kræver løsepenge), som krypterer kritiske filer på tværs af virksomheden. Virksomheden er ude af drift i dagevis og modtager et krav om løsepenge i bitcoin.
Datatyveri og industrispionage
En konkurrent eller statssponsoreret angriber udnytter sårbarheden til stille og roligt at tilgå og kopiere fortrolige kontrakter, produkttegninger og strategidokumenter gemt i WebCenter Content – uden at efterlade tydelige spor. Virksomheden opdager først bruddet måneder senere, når konkurrencefølsomt materiale dukker op hos en konkurrent.
Ofte stillede spørgsmål
Bruger vi Oracle WebCenter Content – hvordan finder jeg ud af det?
Oracle WebCenter Content er typisk implementeret som en del af Oracle Fusion Middleware og bruges til dokumenthåndtering og indholdsstyring. Spørg din IT-afdeling eller den leverandør, der driver jeres IT-systemer. Du kan også søge efter ‘WebCenter’ i jeres systemoversigt eller software-licenser.
Kan angribere allerede have udnyttet sårbarheden?
Det er muligt. Sårbarheden blev offentliggjort den 17. juni 2026, og med en så alvorlig fejl er der risiko for, at angribere hurtigt vil forsøge at udnytte den. Bed din IT-ansvarlige tjekke systemlogs for usædvanlig aktivitet, særligt ukendte logins, uventede filændringer eller usædvanlig netværkstrafik.
Hvad sker der, hvis vi ikke opdaterer?
Lader du systemet stå upatchet og tilgængeligt fra netværket, er risikoen for et vellykket angreb meget høj. Konsekvenserne kan være tab af fortrolige dokumenter, databrud (som kan kræve anmeldelse til Datatilsynet), driftsforstyrrelse og potentielt spredning af angrebet til andre systemer i virksomheden.
Hjælper en firewall, hvis vi ikke kan opdatere med det samme?
Ja, en midlertidig løsning er at blokere adgangen til Oracle WebCenter Content fra internettet via en firewall, så kun interne brugere på dit netværk kan nå systemet. Det reducerer risikoen betydeligt, men erstatter ikke en reel opdatering. Behandl det som en nødforanstaltning, mens du forbereder opdateringen.
Skal vi anmelde det til Datatilsynet?
Hvis I behandler personoplysninger via Oracle WebCenter Content, og I har grund til at tro, at systemet er eller har været kompromitteret, kan det udgøre et databrud. I så fald har I pligt til at anmelde det til Datatilsynet inden for 72 timer efter, at I er blevet opmærksomme på bruddet. Rådfør dig med din databeskyttelsesrådgiver (DPO) eller en juridisk rådgiver.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
