CVE-2026-35321: Kritisk sårbarhed i Oracle WebCenter Content
Kritisk sårbarhed i Oracle WebCenter Content giver angribere fuld kontrol over systemet via netværket.
Hvad er det?
Oracle WebCenter Content er et system til at håndtere og opbevare virksomhedens dokumenter og digitalt indhold. En sårbarhed i selve indholdsserveren (Content Server) gør det muligt for en angriber med blot en simpel brugerkonto at overtage hele systemet via internettet. Angrebet kræver ingen særlige tekniske færdigheder, ingen hjælp fra andre brugere og kan udføres på afstand. Det betyder, at risikoen for udnyttelse er meget høj. Fejlen er opdaget og offentliggjort af Oracle som en del af deres kvartalsvise sikkerhedsopdateringer (Critical Patch Update).
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Content i version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk mellemstore og større virksomheder, der anvender Oracle Fusion Middleware som platform til dokumenthåndtering, intranet eller digitale arbejdsgange. Hvis din virksomhed bruger disse systemer — enten selv hostet eller via en leverandør — er du potentielt i risikogruppen.
Hvad kan ske?
En angriber med en helt almindelig brugerkonto — fx en tidligere medarbejder eller en person med stjålet login — kan udnytte sårbarheden til at overtage hele Oracle WebCenter Content-systemet. Det betyder:
- Fortrolighed: Angriberen kan læse og eksportere alle dokumenter og filer gemt i systemet.
- Integritet: Angriberen kan ændre, slette eller manipulere data og dokumenter.
- Tilgængelighed: Systemet kan lukkes ned eller gøres ubrugeligt.
- Spredning: Angrebet kan sprede sig til andre systemer, der er forbundet med Oracle WebCenter Content (såkaldt scope change), fx andre dele af jeres Oracle-miljø.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.9 ud af 10 (Kritisk) efter CVSS 3.1-standarden — det er den næsthøjeste mulige score. Kombinationen af, at angrebet kan udføres over netværket, at det er let at udnytte, at det kun kræver en lav grad af rettigheder, og at det kan ramme andre systemer end det direkte angrebne, gør dette til en ekstremt alvorlig sårbarhed. Oracle selv klassificerer den som kritisk og anbefaler øjeblikkelig handling.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din virksomhed:
- Identificér om I bruger Oracle WebCenter Content: Spørg jeres IT-ansvarlige eller leverandør, om I kører version 12.2.1.4.0 eller 14.1.2.0.0.
- Installer Oracles Critical Patch Update (CPU) for juli 2026: Oracle har udsendt en patch (sikkerhedsopdatering) som en del af deres kvartalsvise opdateringspakke. Opdater systemet hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så overvej at begrænse adgangen til Content Server via firewall (en digital mur der styrer netværkstrafik), så kun nødvendige brugere og systemer kan nå det.
- Gennemgå brugerkonti: Sørg for at tidligere medarbejdere og unødvendige konti er deaktiveret, da angrebet kun kræver en simpel brugerkonto.
- Kontakt jeres Oracle-leverandør eller IT-partner: Få bekræftet at opdateringen er installeret korrekt og at ingen andre systemer er blevet kompromitteret.
Patch straks — kritisk prioritet
Hos Auroa anbefaler vi, at I behandler denne sårbarhed som akut og prioriterer patching over alt andet denne uge. En CVSS-score på 9.9 og muligheden for at angrebet spreder sig til andre systemer gør det til en af de mest alvorlige typer sårbarheder, vi ser. Hvis I ikke selv har ressourcer til at håndtere opdateringen, så kontakt os eller jeres IT-leverandør i dag — vent ikke til næste planlagte vedligeholdsvindue.
Tidslinje
Konkrete eksempler
Tidligere medarbejder udnytter gammel konto
En tidligere IT-medarbejder har stadig en aktiv brugerkonto i Oracle WebCenter Content. Via internettet logger vedkommende ind med sine gamle loginoplysninger og udnytter sårbarheden til at overtage serveren. Herefter eksporterer angriberen alle virksomhedens kontrakter, kundedata og interne dokumenter — uden at nogen opdager det i første omgang.
Phishing-angreb åbner døren
En medarbejder modtager en phishing-mail (en falsk mail der forsøger at stjæle loginoplysninger) og indtaster sine Oracle-loginoplysninger på en falsk hjemmeside. Angriberen bruger de stjålne oplysninger til at logge ind på Oracle WebCenter Content og udnytter CVE-2026-35321 til at eskalere sine rettigheder (få administratoradgang) og installere skadelig software på serveren, der spreder sig til andre systemer i virksomhedens netværk.
Automatiseret scanningsangreb
En kriminel gruppe bruger automatiserede scanningsværktøjer til at identificere alle interneteksponerede Oracle WebCenter Content-installationer globalt. Virksomheder der ikke har opdateret rammes med et automatiseret angreb, der udnytter sårbarheden og installerer ransomware (software der krypterer data og kræver løsesum). Hele dokumenthåndteringssystemet krypteres og virksomheden kan ikke tilgå sine egne filer.
Ofte stillede spørgsmål
Vi har outsourcet vores IT — er vi stadig i fare?
Ja, potentielt. Outsourcing betyder ikke automatisk, at I er beskyttet. Kontakt jeres IT-leverandør og bed om en skriftlig bekræftelse på, at Oracle WebCenter Content er opdateret og at sårbarheden er lukket. I er som virksomhed stadig ansvarlige for jeres egne data.
Hvad er Oracle Critical Patch Update (CPU)?
Oracle udgiver fire gange om året en samlet pakke af sikkerhedsopdateringer kaldet Critical Patch Update (CPU). Det svarer til Microsofts Patch Tuesday. Opdateringen til denne sårbarhed er inkluderet i CPU’en for juli 2026. Jeres IT-afdeling eller Oracle-leverandør kan installere den.
Kan vi opdage om vi allerede er blevet angrebet?
Det kan være svært at opdage uden de rette værktøjer. Vi anbefaler, at I gennemgår logfiler (registreringer af systemaktivitet) fra jeres Oracle WebCenter Content-server for usædvanlig aktivitet — særligt ukendte logins eller ændringer i dokumenter. Hvis I ikke har adgang til disse logs, bør I kontakte jeres IT-leverandør for en gennemgang.
Er det nok at have en firewall?
En firewall kan begrænse hvem der har adgang til systemet og dermed reducere risikoen midlertidigt. Men det er ikke en permanent løsning. Sårbarheden er i selve softwaren, og den eneste holdbare løsning er at installere Oracles sikkerhedsopdatering. Brug firewall-begrænsning som en kortvarig foranstaltning mens I forbereder opdateringen.
Hvad sker der, hvis vi ikke opdaterer?
Risikoen er, at en angriber kan overtage hele jeres dokumenthåndteringssystem og potentielt sprede angrebet til andre forbundne systemer. Det kan medføre datatab, brud på GDPR (persondataforordningen), driftstab og i værste fald økonomisk skade. Jo længere I venter, jo større er risikoen for at blive ramt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Content. While the vulnerability is in Oracle WebCenter Content, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
