CVE-2026-46777: Kritisk fejl i Oracle WebCenter Content
Kritisk fejl i Oracle WebCenter Content giver angribere fuld adgang til alle dokumenter og data uden login.
Hvad er det?
CVE-2026-46777 er en kritisk sårbarhed i Oracle WebCenter Content, som er Oracles platform til dokumenthåndtering og indholdsstyring. Fejlen ligger i selve Content Server-komponenten og gør det muligt for en angriber at tilgå, oprette, ændre eller slette alle data i systemet — helt uden at have et brugernavn eller adgangskode. Angrebet sker over det normale HTTP-netværk og kræver ingen særlig teknisk viden eller forberedelse. De berørte versioner er 12.2.1.4.0 og 14.1.2.0.0.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Content til at håndtere dokumenter, kontrakter, fakturaer eller andre forretningskritiske filer. Det gælder typisk mellemstore og større virksomheder samt offentlige institutioner, der har valgt Oracles Fusion Middleware-platform. Hvis dit system er tilgængeligt fra internettet, er risikoen særligt høj, men selv interne installationer er i fare hvis en angriber får fodfæste på dit netværk.
Hvad kan ske?
En angriber kan uden login tilgå alle dokumenter og filer gemt i dit WebCenter Content-system. Det betyder, at følsomme oplysninger som kontrakter, persondata, finansielle dokumenter og forretningshemmeligheder kan blive stjålet. Derudover kan angriberen oprette, ændre eller slette indhold — for eksempel manipulere fakturaer, ødelægge vigtige dokumenter eller plante skadelige filer i systemet. Der er ingen begrænsning på, hvilke data der kan tilgås.
Hvor alvorligt er det?
CVSS-scoren er 9,1 ud af 10, hvilket klassificeres som Kritisk. Det er den næsthøjeste mulige score. Angrebet kan udføres over nettet, kræver ingen forudgående adgang eller brugerinteraktion, og kompleksiteten er lav — hvilket betyder, at selv angribere med begrænsede tekniske færdigheder kan udnytte det. Både fortrolighed (hvem der ser dine data) og integritet (om dine data er troværdige og uændrede) er i alvorlig fare.
Hvad gør jeg nu?
Handl hurtigt. Prioritér disse trin i den rækkefølge de er listet:
- Kortlæg din eksponering: Spørg din IT-leverandør eller interne IT-ansvarlig om I bruger Oracle WebCenter Content i version 12.2.1.4.0 eller 14.1.2.0.0.
- Begræns adgangen med det samme: Hvis systemet er tilgængeligt fra internettet, skal du øjeblikkeligt begrænse adgangen via firewall (en digital adgangskontrol), så kun nødvendige brugere kan nå det.
- Tjek for Oracles sikkerhedsopdatering: Oracle udgiver løbende Critical Patch Updates (CPU). Undersøg om der er en patch tilgængelig til denne CVE og planlæg installation hurtigst muligt.
- Gennemgå adgangslogge: Bed din IT-leverandør om at tjekke systemets logs for usædvanlig aktivitet eller uautoriserede adgangsforsøg.
- Informér ledelsen: Sørg for at relevante beslutningstagere er bekendte med risikoen, så der kan frigøres ressourcer til at håndtere problemet.
Handl inden for 24-72 timer
Med en CVSS-score på 9,1 og ingen krav om hverken login eller brugerinteraktion er dette en sårbarhed, du skal tage alvorligt med det samme. Vi anbefaler, at du inden for 24 timer begrænser netværksadgangen til dit WebCenter Content-system og kontakter din Oracle-leverandør for at få installeret den seneste sikkerhedsopdatering. Vent ikke på det næste planlagte vedligeholdelsesvindue — denne fejl er for kritisk til at lade stå åben.
Tidslinje
Konkrete eksempler
Angriber stjæler alle kontrakter og kundedata
En angriber scanner internettet for Oracle WebCenter Content-systemer og finder jeres server. Uden brug af brugernavn eller adgangskode sender angriberen en særligt udformet HTTP-forespørgsel til systemet og får øjeblikkelig adgang til alle lagrede dokumenter. På få minutter downloades kontrakter, tilbud, kundelister og personfølsomme dokumenter — uden at I opdager det.
Manipulation af fakturaer og finansielle dokumenter
Via den samme fejl kan en angriber ikke bare læse, men også ændre dokumenter. En angriber modificerer gemte fakturaer og ændrer bankkontonumre til sine egne. Næste gang en medarbejder genbruger et dokument fra systemet og sender det til en leverandør, ender betalingen hos angriberen. Fordi ændringen sker direkte i dokumenthåndteringssystemet, efterlader det sig minimale spor.
Intern angriber eskalerer rettigheder via kompromitteret netværk
En medarbejders computer inficeres med malware via en phishing-mail. Malwaren opdager at virksomheden kører Oracle WebCenter Content internt og udnytter CVE-2026-46777 til at tilgå og eksportere alle dokumenter fra indholdssystemet — selvom den inficerede medarbejder normalt kun har adgang til et begrænset sæt filer. Angrebet sker stille og roligt i baggrunden uden at udløse alarmklokker.
Ofte stillede spørgsmål
Bruger vi Oracle WebCenter Content uden at vide det?
Det er muligt, særligt hvis I har et større ERP- eller dokumenthåndteringssystem leveret af Oracle eller en Oracle-partner. Spørg din IT-leverandør eller IT-ansvarlige om I anvender Oracle Fusion Middleware eller WebCenter Content som en del af jeres infrastruktur. Kig også efter systemer der bruges til at gemme og dele dokumenter på tværs af afdelinger.
Er vi kun i fare hvis systemet er på internettet?
Interneteksponering øger risikoen markant, men selv interne systemer er sårbare. Hvis en angriber først er kommet ind på dit netværk — for eksempel via phishing eller en anden sårbarhed — kan de udnytte denne fejl til at tilgå alle dokumenter i WebCenter Content. Det anbefales at beskytte systemet uanset om det kun er tilgængeligt internt.
Hvad er en Critical Patch Update (CPU) fra Oracle?
Oracle udgiver fire gange om året en samlet pakke af sikkerhedsopdateringer kaldet Critical Patch Update. Det er Oracles måde at rette kendte sårbarheder på tværs af alle deres produkter. Du eller din IT-leverandør skal logge ind på Oracles supportportal og hente og installere den relevante opdatering til jeres version af WebCenter Content.
Kan vi opdage om nogen allerede har udnyttet sårbarheden?
Ja, det er muligt at tjekke adgangslogge i systemet for usædvanlig aktivitet — for eksempel adgangsforsøg på mærkelige tidspunkter, download af store datamængder eller ændringer i filer der ikke burde være ændret. Bed din IT-leverandør om at gennemgå disse logs, og overvej at kontakte en cybersikkerhedsekspert hvis I finder mistænkelige spor.
Hvad gør vi hvis vi ikke kan opdatere med det samme?
Hvis en øjeblikkelig opdatering ikke er mulig, bør du som minimum isolere systemet bag en firewall og begrænse adgangen til kun kendte IP-adresser (netværksadresser). Overvej midlertidigt at tage systemet offline hvis det er eksponeret mod internettet. Dette er en midlertidig løsning — den permanente løsning er at installere Oracles sikkerhedsopdatering så hurtigt som muligt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle WebCenter Content accessible data as well as unauthorized access to critical data or complete access to all Oracle WebCenter Content accessible data. CVSS 3.1 Base Score 9.1 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
