CVE-2026-46765: Kritisk fejl i Oracle WebCenter Portal
Kritisk fejl i Oracle WebCenter Portal giver angribere fuld kontrol over systemet via netværket.
Hvad er det?
Oracle WebCenter Portal er en webplatform, som mange virksomheder bruger til at bygge interne portaler og samarbejdsflader. En sårbarhed i modulet ‘Composer’ (det værktøj, der bruges til at designe og redigere portal-sider) gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele systemet via internettet. Angrebet kræver ingen særlig teknisk snilde — det er nemt at udnytte, og angriberen behøver ikke fysisk adgang til serveren. Sårbarheden er klassificeret som kritisk med en CVSS-score på 9,9 ud af 10.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Portal i version 12.2.1.4.0 eller 14.1.2.0.0. Disse versioner bruges typisk i større administrations- og samarbejdsmiljøer — ofte i offentlige institutioner, finanssektoren og større SMV’er, der har investeret i Oracle-teknologi. Har du en Oracle-baseret portal, bør du straks undersøge, hvilken version du kører.
Hvad kan ske?
En angriber, der udnytter fejlen, kan overtage hele Oracle WebCenter Portal-installationen. Det betyder i praksis:
- Fuld adgang til fortrolige data — angriberen kan læse alle dokumenter, brugerdata og interne oplysninger i portalen.
- Manipulation af indhold — angriberen kan ændre, slette eller plante falsk information i systemet.
- Systemnedbrud — portalen kan gøres utilgængelig for alle brugere.
- Spredning til andre systemer — fordi fejlen har ‘scope change’ (angrebet kan ramme systemer ud over selve portalen), kan angriberen potentielt bevæge sig videre ind i virksomhedens øvrige it-miljø.
Hvor alvorligt er det?
Meget alvorligt. CVSS-scoren er 9,9 ud af 10, hvilket placerer den i den absolutte top af kritiske sårbarheder. Angrebet kan udføres over netværket uden fysisk adgang, kræver kun en lav grad af rettigheder (fx en normal brugerkonto), og kræver ingen handling fra et offer. Derudover kan konsekvenserne sprede sig til andre systemer end selve portalen. Der er meget lidt, der begrænser en angribers muligheder her.
Hvad gør jeg nu?
Handle hurtigt. Følg disse trin i prioriteret rækkefølge:
- Identificér din version: Kontakt din it-ansvarlige eller Oracle-leverandør og find ud af, om I kører Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0.
- Installér Oracles sikkerhedspatch: Oracle udgiver løbende Critical Patch Updates (CPU). Tjek Oracles officielle patch-oversigt og installer den relevante opdatering hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, bør I overveje at begrænse adgangen til portalen fra internettet, fx via firewall-regler, mens opdateringen forberedes.
- Gennemgå adgangslogge: Bed jeres it-team om at gennemse logfiler for usædvanlig aktivitet — særligt uventede logins eller ændringer i Composer-modulet.
- Informér relevante parter: Hvis I mistænker, at systemet allerede er kompromitteret, bør I kontakte jeres it-sikkerhedsrådgiver og overveje anmeldelse til Datatilsynet, hvis persondata kan være berørt.
Patch hurtigst muligt — inden for 24-72 timer
Vi anbefaler, at du behandler denne sårbarhed som en akut hændelse. Kontakt straks din it-leverandør eller interne it-ansvarlige og få bekræftet, om I er berørt. Oracles Critical Patch Update bør installeres inden for de næste 24-72 timer. Har I ikke kapacitet til at håndtere det selv, er du velkommen til at kontakte Auroa — vi hjælper med vurdering og oprydning.
Tidslinje
Konkrete eksempler
Medarbejder med basiskonto overtager portalen
En angriber — eller en kompromitteret medarbejderkonto — logger ind på Oracle WebCenter Portal med helt almindelige brugerrettigheder. Via Composer-modulet sender angriberen en særligt udformet HTTP-forespørgsel, der udnytter fejlen og giver fuld administratoradgang. Angriberen kan nu læse alle fortrolige dokumenter, ændre indhold og lukke systemet ned for alle øvrige brugere.
Angriber bevæger sig fra portalen til andre systemer
Efter at have overtaget WebCenter Portal bruger angriberen de fundne legitimationsoplysninger og systemrettigheder til at bevæge sig videre til andre Oracle-produkter og interne servere, der er integreret med portalen. Det, der startede som et angreb på portalen, udvikler sig til en bredere kompromittering af virksomhedens it-infrastruktur — et klassisk eksempel på en ‘scope change’-sårbarhed i praksis.
Ekstern angriber via phishing-konto
En ekstern angriber sender en phishing-e-mail til en medarbejder og snyder vedkommende til at afgive sine login-oplysninger til virksomhedens Oracle-portal. Med disse oplysninger i hånden udnytter angriberen CVE-2026-46765 til at eskalere sine rettigheder og overtage systemet fuldstændigt — uden at nogen i virksomheden opdager det, før skaden er sket.
Ofte stillede spørgsmål
Skal vi være bekymrede, hvis vi kun bruger Oracle WebCenter Portal internt?
Ja, selv et internt system er i fare. En angriber med en gyldig brugerkonto — fx en utilfreds medarbejder eller en ekstern der har fået adgang via phishing — kan udnytte fejlen indefra netværket. Intern tilgængelighed er ikke en tilstrækkelig beskyttelse mod denne type sårbarhed.
Hvad er en 'scope change', og hvorfor er det farligt?
‘Scope change’ betyder, at et vellykket angreb ikke kun rammer det sårbare system (Oracle WebCenter Portal), men potentielt kan sprede sig til andre systemer og tjenester, der er forbundet til portalen. Det øger risikoen markant, fordi angrebet kan blive udgangspunktet for en bredere kompromittering af hele virksomhedens it-miljø.
Hvordan ved vi, om vi allerede er blevet angrebet?
Gennemgå jeres logfiler for adgang til Composer-modulet i Oracle WebCenter Portal. Kig efter uventede logins, ændringer i portal-konfiguration eller aktivitet uden for normale arbejdstider. Har I ikke logfiler eller ikke ressourcer til at gennemgå dem, bør I kontakte en it-sikkerhedsekspert, der kan hjælpe med en hurtig gennemgang.
Hvad sker der, hvis vi ikke patcher med det samme?
Jo længere I venter, jo større er risikoen for, at en angriber udnytter hullet. Sårbarheden er nem at udnytte og kræver minimale ressourcer. Uden en patch er jeres portal reelt åben for overtagelse for enhver med en brugerkonto og netværksadgang.
Kræver det noget særligt at installere Oracles patch?
Oracles Critical Patch Updates (CPU) kræver typisk, at man logger ind på Oracles support-portal (My Oracle Support) og følger en specifik installationsvejledning. Det anbefales, at jeres it-team eller Oracle-leverandør håndterer dette, da en forkert installation kan skabe problemer. Test gerne patchen i et testmiljø, inden den installeres i produktion, hvis tidshorisonten tillader det.
Er vi forpligtede til at indberette dette til Datatilsynet?
Hvis I opdager, at persondata (fx medarbejder- eller kundeoplysninger) kan have været tilgængelige for uautoriserede som følge af sårbarheden, kan det udløse en indberetningspligt til Datatilsynet inden for 72 timer efter I bliver opmærksomme på bruddet — dette følger af GDPR-reglerne. Kontakt en juridisk rådgiver eller it-sikkerhedsekspert for at afklare, om I er i den situation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Composer). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
