CVE-2026-35321
Kritisk

CVE-2026-35321: Kritisk sårbarhed i Oracle WebCenter Content

Kritisk sårbarhed i Oracle WebCenter Content giver angribere fuld kontrol over systemet via netværket.

CVSS Score
9.9
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch straks — kritisk prioritet

Hvad er det?

Oracle WebCenter Content er et system til at håndtere og opbevare virksomhedens dokumenter og digitalt indhold. En sårbarhed i selve indholdsserveren (Content Server) gør det muligt for en angriber med blot en simpel brugerkonto at overtage hele systemet via internettet. Angrebet kræver ingen særlige tekniske færdigheder, ingen hjælp fra andre brugere og kan udføres på afstand. Det betyder, at risikoen for udnyttelse er meget høj. Fejlen er opdaget og offentliggjort af Oracle som en del af deres kvartalsvise sikkerhedsopdateringer (Critical Patch Update).

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Content i version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk mellemstore og større virksomheder, der anvender Oracle Fusion Middleware som platform til dokumenthåndtering, intranet eller digitale arbejdsgange. Hvis din virksomhed bruger disse systemer — enten selv hostet eller via en leverandør — er du potentielt i risikogruppen.

Hvad kan ske?

En angriber med en helt almindelig brugerkonto — fx en tidligere medarbejder eller en person med stjålet login — kan udnytte sårbarheden til at overtage hele Oracle WebCenter Content-systemet. Det betyder:

  • Fortrolighed: Angriberen kan læse og eksportere alle dokumenter og filer gemt i systemet.
  • Integritet: Angriberen kan ændre, slette eller manipulere data og dokumenter.
  • Tilgængelighed: Systemet kan lukkes ned eller gøres ubrugeligt.
  • Spredning: Angrebet kan sprede sig til andre systemer, der er forbundet med Oracle WebCenter Content (såkaldt scope change), fx andre dele af jeres Oracle-miljø.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.9 ud af 10 (Kritisk) efter CVSS 3.1-standarden — det er den næsthøjeste mulige score. Kombinationen af, at angrebet kan udføres over netværket, at det er let at udnytte, at det kun kræver en lav grad af rettigheder, og at det kan ramme andre systemer end det direkte angrebne, gør dette til en ekstremt alvorlig sårbarhed. Oracle selv klassificerer den som kritisk og anbefaler øjeblikkelig handling.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte din virksomhed:

  1. Identificér om I bruger Oracle WebCenter Content: Spørg jeres IT-ansvarlige eller leverandør, om I kører version 12.2.1.4.0 eller 14.1.2.0.0.
  2. Installer Oracles Critical Patch Update (CPU) for juli 2026: Oracle har udsendt en patch (sikkerhedsopdatering) som en del af deres kvartalsvise opdateringspakke. Opdater systemet hurtigst muligt.
  3. Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så overvej at begrænse adgangen til Content Server via firewall (en digital mur der styrer netværkstrafik), så kun nødvendige brugere og systemer kan nå det.
  4. Gennemgå brugerkonti: Sørg for at tidligere medarbejdere og unødvendige konti er deaktiveret, da angrebet kun kræver en simpel brugerkonto.
  5. Kontakt jeres Oracle-leverandør eller IT-partner: Få bekræftet at opdateringen er installeret korrekt og at ingen andre systemer er blevet kompromitteret.
Tidsfrist

Patch straks — kritisk prioritet

Sådan ser Auroa det

Hos Auroa anbefaler vi, at I behandler denne sårbarhed som akut og prioriterer patching over alt andet denne uge. En CVSS-score på 9.9 og muligheden for at angrebet spreder sig til andre systemer gør det til en af de mest alvorlige typer sårbarheder, vi ser. Hvis I ikke selv har ressourcer til at håndtere opdateringen, så kontakt os eller jeres IT-leverandør i dag — vent ikke til næste planlagte vedligeholdsvindue.

Tidslinje

17/06/2026
CVE-2026-35321 offentliggjort
Oracle offentliggjorde sårbarheden som en del af deres Critical Patch Update Advisory for juli 2026. Sårbarheden fik den kritiske CVSS-score på 9.9.
17/06/2026
Patch tilgængelig fra Oracle
Samtidig med offentliggørelsen udgav Oracle en sikkerhedsopdatering via deres Critical Patch Update. Opdateringen dækker de berørte versioner 12.2.1.4.0 og 14.1.2.0.0.
18/06/2026
Tekniske detaljer cirkulerer
Efter offentliggørelsen begyndte sikkerhedsforskere at analysere sårbarheden. Den lave kompleksitet og høje score øger risikoen for hurtig udvikling af exploit-kode (angrebsværktøjer).
24/06/2026
Øget risiko for aktiv udnyttelse
Baseret på historiske mønstre med lignende kritiske Oracle-sårbarheder forventes det, at angribere forsøger aktiv udnyttelse inden for de første 1-2 uger efter offentliggørelse, hvis systemer ikke er opdateret.

Konkrete eksempler

Tidligere medarbejder udnytter gammel konto

En tidligere IT-medarbejder har stadig en aktiv brugerkonto i Oracle WebCenter Content. Via internettet logger vedkommende ind med sine gamle loginoplysninger og udnytter sårbarheden til at overtage serveren. Herefter eksporterer angriberen alle virksomhedens kontrakter, kundedata og interne dokumenter — uden at nogen opdager det i første omgang.

Phishing-angreb åbner døren

En medarbejder modtager en phishing-mail (en falsk mail der forsøger at stjæle loginoplysninger) og indtaster sine Oracle-loginoplysninger på en falsk hjemmeside. Angriberen bruger de stjålne oplysninger til at logge ind på Oracle WebCenter Content og udnytter CVE-2026-35321 til at eskalere sine rettigheder (få administratoradgang) og installere skadelig software på serveren, der spreder sig til andre systemer i virksomhedens netværk.

Automatiseret scanningsangreb

En kriminel gruppe bruger automatiserede scanningsværktøjer til at identificere alle interneteksponerede Oracle WebCenter Content-installationer globalt. Virksomheder der ikke har opdateret rammes med et automatiseret angreb, der udnytter sårbarheden og installerer ransomware (software der krypterer data og kræver løsesum). Hele dokumenthåndteringssystemet krypteres og virksomheden kan ikke tilgå sine egne filer.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Content. While the vulnerability is in Oracle WebCenter Content, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-35321
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch straks — kritisk prioritet

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.