CVE-2026-46766: Kritisk sårbarhed i Oracle WebCenter Content
Kritisk sårbarhed i Oracle WebCenter Content giver angribere fuld kontrol over systemet uden login – opdater straks.
Hvad er det?
Oracle WebCenter Content er et system til håndtering af dokumenter og digitalt indhold, som mange virksomheder bruger til at gemme og dele filer internt. CVE-2026-46766 er en kritisk sårbarhed i selve Content Server-komponenten, som betyder, at en angriber udefra kan overtage hele systemet uden at kende et brugernavn eller adgangskode. Angrebet sker via det normale netværk (HTTP), kræver ingen særlige tekniske forudsætninger og behøver ingen handling fra dine medarbejdere. Oracle har bekræftet, at versionerne 12.2.1.4.0 og 14.1.2.0.0 er berørt.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0. Det drejer sig typisk om mellemstore til større virksomheder, der bruger Oracle Fusion Middleware som platform til dokumentstyring og intranet-løsninger. Hvis dit system er tilgængeligt fra internettet, er risikoen størst – men angrebsforsøg kan også komme indefra dit netværk.
Hvad kan ske?
En vellykket udnyttelse af sårbarheden giver angriberen fuld kontrol over Oracle WebCenter Content-serveren. Det betyder:
- Fortrolighed: Alle dokumenter og filer på serveren kan læses og kopieres – herunder potentielt personfølsomme data, kontrakter og interne rapporter.
- Integritet: Angriberen kan ændre, slette eller manipulere indhold og data på serveren.
- Tilgængelighed: Serveren kan lukkes ned eller gøres utilgængelig, hvilket stopper arbejdsgange der afhænger af systemet.
I værste fald kan angriberen bruge adgangen som springbræt til at trænge dybere ind i dit netværk.
Hvor alvorligt er det?
CVSS-scoren er 9,8 ud af 10 – Kritisk. Det er næsten det højest mulige. Karakteren afspejler, at angrebet kan gennemføres over internettet, uden login, uden hjælp fra brugere og med lav teknisk kompleksitet. Resultatet er fuldstændig overtagelse af det ramte system. Der er meget få sårbarheder, der scorer højere end dette.
Hvad gør jeg nu?
Handl hurtigt. Følg disse trin i prioriteret rækkefølge:
- Identificér om du bruger Oracle WebCenter Content: Spørg din IT-ansvarlige eller leverandør, om I anvender Oracle WebCenter Content – og i givet fald hvilken version.
- Begræns adgangen midlertidigt: Hvis systemet er tilgængeligt fra internettet, så bloker adgangen via firewall (brandmur) til det er patchet. Tillad kun adgang fra kendte IP-adresser eller via VPN.
- Hent og installer Oracles sikkerhedsopdatering: Oracle frigiver normalt patches via deres Critical Patch Update (CPU). Gå til Oracles support-portal og installér den relevante patch til din version (12.2.1.4.0 eller 14.1.2.0.0).
- Gennemgå logfiler: Bed din IT-ansvarlige om at tjekke server-logfiler for usædvanlig aktivitet, der kan tyde på, at nogen allerede har forsøgt at udnytte sårbarheden.
- Informér relevante parter: Hvis I håndterer persondata, og der er mistanke om brud, skal I muligvis anmelde hændelsen til Datatilsynet inden for 72 timer ifølge GDPR.
Patch straks – senest inden for 24-48 timer
Oracle WebCenter Content er et attraktivt mål, fordi det typisk indeholder vigtige forretningsdokumenter og er forbundet til andre systemer. Med en CVSS-score på 9,8 og et angrebsmønster der ikke kræver andet end netværksadgang, anbefaler vi, at du behandler dette som en akut situation. Installer Oracles patch med det samme, og begræns i mellemtiden netværksadgangen til systemet. Kontakt os, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Direkte serverovertagelse via HTTP
En angriber sender en særligt udformet HTTP-forespørgsel direkte til Oracle WebCenter Content-serveren uden at logge ind. Sårbarheden i Content Server-komponenten giver angriberen fuld administrativ adgang. Angriberen downloader straks alle dokumenter fra systemet – herunder kontrakter, HR-filer og finansielle rapporter – og videresælger dem eller bruger dem til afpresning.
Ransomware-angreb via kompromitteret server
En kriminel gruppe udnytter CVE-2026-46766 til at overtage WebCenter Content-serveren og installerer ransomware (software der krypterer dine filer og kræver løsesum). Fra serveren breder angrebet sig til andre systemer på netværket. Virksomheden opdager næste morgen, at alle filer er krypteret, og modtager en løsesumsbesked.
Usynlig bagdør til langvarigt spionage
En statslig eller professionel hackergruppe udnytter sårbarheden til at installere en skjult bagdør (persistent adgang) på serveren uden at efterlade tydelige spor. I måneder herefter overvåger angriberen løbende nye dokumenter og kommunikation, der uploades til systemet, og eksfiltrerer (stjæler) fortrolig forretningsinformation løbende.
Ofte stillede spørgsmål
Skal vi bruge Oracle WebCenter Content for at være i fare?
Ja – kun virksomheder der kører Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0 er direkte berørt. Hvis I bruger en anden version eller et helt andet system til dokumenthåndtering, er I ikke ramt af netop denne sårbarhed.
Kan angribere udnytte dette, selv om systemet ikke er åbent på internettet?
Risikoen er størst, hvis systemet er tilgængeligt fra internettet. Men selv et internt system kan udnyttes, hvis en angriber allerede har fået fodfæste på dit netværk – for eksempel via phishing eller en kompromitteret medarbejder-PC. Intern netværksadgang er altså også en risikofaktor.
Hvad menes der med 'overtagelse' af systemet?
Det betyder, at en angriber opnår de samme rettigheder som systemadministratoren på serveren. Vedkommende kan læse alle filer, ændre indhold, slette data og potentielt installere skadelig software, der giver adgang til resten af jeres netværk.
Hvad gør vi, hvis vi ikke selv kan installere patchen?
Kontakt jeres IT-leverandør eller driftspartner hurtigst muligt og gør dem opmærksomme på CVE-2026-46766. I mellemtiden bør I bede dem om at blokere ekstern adgang til systemet via firewall, indtil opdateringen er på plads. I kan også kontakte Auroa for sparring og hjælp.
Er vi nødt til at anmelde dette til Datatilsynet?
Kun hvis I har konkret mistanke om eller viden om, at data faktisk er blevet tilgået eller stjålet. En opdaget sårbarhed, der endnu ikke er udnyttet, udløser ikke automatisk en anmeldelsespligt. Men hvis I opdager tegn på et brud, har I 72 timer til at anmelde det til Datatilsynet under GDPR.
Hvor lang tid tager det at installere en Oracle-patch?
Det varierer afhængigt af jeres miljø og version, men en typisk Oracle CPU-patch (Critical Patch Update) kan tage fra nogle timer til en halv dag, inklusiv test og genstart. Planlæg et kort vedligeholdelsesvindue og sørg for backup inden opdateringen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
