CVE-2026-46778
Kritisk

CVE-2026-46778: Kritisk fejl i Oracle WebCenter Capture

Kritisk fejl i Oracle WebCenter Enterprise Capture giver angribere fuld kontrol uden login – opdater straks.

CVSS Score
10
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-72 timer

Hvad er det?

CVE-2026-46778 er en kritisk sikkerhedsfejl i Oracle WebCenter Enterprise Capture, som er Oracles software til at håndtere og behandle dokumenter og billeder i virksomheder. Fejlen sidder i en del kaldet ‘Client Bundle’ og udnyttes via RMI (Remote Method Invocation – en teknisk kommunikationsmetode mellem programmer over netværket). En angriber kan uden at logge ind og uden nogen form for hjælp fra en bruger sende særlige kommandoer til systemet og overtage det fuldstændigt. Fejlen har fået den højest mulige alvorlighedsscore på 10 ud af 10.

Hvem rammer det?

Fejlen rammer virksomheder, der bruger Oracle WebCenter Enterprise Capture version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk organisationer, der automatiserer behandling af indgående dokumenter, fakturaer eller arkivmateriale – for eksempel i regnskab, HR eller offentlig forvaltning. Hvis din virksomhed bruger Oracle Fusion Middleware som en del af jeres IT-infrastruktur, bør du undersøge, om I har dette produkt installeret.

Hvad kan ske?

En angriber, der udnytter fejlen, kan overtage Oracle WebCenter Enterprise Capture-serveren helt. Det betyder:

  • Alle dokumenter og filer i systemet kan læses og kopieres.
  • Data kan ændres eller slettes – også uden at I opdager det.
  • Systemet kan gøres utilgængeligt (nedbrud).
  • Angrebet kan brede sig til andre systemer i jeres netværk, fordi sårbarheden har ‘scope change’ – altså at skaden ikke stopper ved ét system.

Hvor alvorligt er det?

Dette er maksimalt alvorligt. CVSS-scoren er 10.0 ud af 10, og alle tre skadetyper – fortrolighed, integritet og tilgængelighed – er vurderet til højeste niveau. Fejlen kræver ingen forudgående adgang, intet brugerklik og kan udnyttes direkte over internettet. Det betyder, at angrebstærsklen er ekstremt lav, og selv en relativt uerfaren angriber kan forsøge det. Derudover kan angrebet sprede sig videre til andre systemer, hvilket gør den potentielle skade endnu større.

Hvad gør jeg nu?

Handles det hurtigt, kan I begrænse risikoen markant. Her er hvad du bør gøre:

  1. Find ud af, om I bruger produktet: Spørg jeres IT-ansvarlige eller leverandør, om Oracle WebCenter Enterprise Capture (version 12.2.1.4.0 eller 14.1.2.0.0) er installeret i jeres miljø.
  2. Installer Oracles patch: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU). Sørg for at opdateringen til dette CVE bliver installeret hurtigst muligt.
  3. Begræns netværksadgang: Mens I venter på patchen – blokér adgang til RMI-porten (typisk port 1099) fra det åbne internet via jeres firewall, så kun nødvendige systemer kan kommunikere med serveren.
  4. Overvåg for mistænkelig aktivitet: Tjek logfiler for usædvanlig aktivitet på serveren, især forbindelser udefra til RMI-tjenesten.
  5. Kontakt jeres IT-leverandør: Har I ikke egne IT-kompetencer til dette, kontakt jeres leverandør eller en sikkerhedskonsulent med det samme.
Tidsfrist

Opdater inden for 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 10.0 og ingen krav om login eller brugerinteraktion er dette en fejl, du ikke kan tillade dig at vente med. Vi anbefaler, at du inden for de næste 24-72 timer verificerer, om I bruger det berørte produkt, og sætter patchning i gang øjeblikkeligt. Som midlertidig foranstaltning bør RMI-adgang begrænses via firewall. Kontakt os, hvis du har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen sikkert.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-46778 som en del af deres Critical Patch Update. Fejlen tildeles den maksimale CVSS-score på 10.0.
17/06/2026
Patch tilgængelig fra Oracle
Oracle udgiver sikkerhedsopdatering til de berørte versioner 12.2.1.4.0 og 14.1.2.0.0 som en del af CPU-udgivelsen.
18/06/2026
Proof-of-concept forventet offentliggjort
Baseret på historiske mønstre for kritiske Oracle-sårbarheder med CVSS 10 er det realistisk, at sikkerhedsforskere offentliggør tekniske detaljer eller proof-of-concept-kode inden for dage efter offentliggørelsen.
20/06/2026
Aktivt angreb forventet
Sårbarheder med CVSS 10 og netværksbaseret udnyttelse uden login begynder typisk at blive aktivt udnyttet inden for 3-7 dage efter offentliggørelse. Organisationer, der ikke har patchet, er i høj risiko.

Konkrete eksempler

Direkte serverovertagelse via åbent internet

En angriber scanner internettet for servere, der kører Oracle WebCenter Enterprise Capture med en åben RMI-port (typisk port 1099). Uden at have et brugernavn eller adgangskode sender angriberen ondsindede RMI-kommandoer til serveren og opnår fuld administratoradgang. Herefter kan angriberen installere ransomware, kopiere alle dokumenter eller bruge serveren til videre angreb.

Internt angreb efter initial kompromittering

En medarbejder åbner en phishing-mail og giver angriberen adgang til sin computer. Angriberen opdager, at virksomhedens dokumenthåndteringssystem kører Oracle WebCenter Enterprise Capture internt på netværket. Via RMI-forbindelsen overtager angriberen serveren og får adgang til alle virksomhedens indscannede fakturaer, kontrakter og HR-dokumenter – helt uden at nogen opdager det.

Spredning til andre systemer via kompromitteret server

Efter at have overtaget Oracle WebCenter Enterprise Capture-serveren bruger angriberen den som springbræt (‘scope change’) til at angribe tilknyttede Oracle Fusion Middleware-komponenter og virksomhedens database. Det, der startede som et angreb på dokumenthåndtering, udvikler sig til et fuldt datalæk, hvor kundedata, regnskaber og personoplysninger kompromitteres.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle WebCenter Enterprise Capture product of Oracle Fusion Middleware (component: Client Bundle). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via RMI to compromise Oracle WebCenter Enterprise Capture. While the vulnerability is in Oracle WebCenter Enterprise Capture, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Enterprise Capture. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2026-46778
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.