CVE-2026-46781: Kritisk fejl i Oracle WebCenter Capture
Kritisk sårbarhed i Oracle WebCenter Enterprise Capture giver angribere fuld kontrol uden login – patch straks.
Hvad er det?
Oracle WebCenter Enterprise Capture er et dokumenthåndteringssystem fra Oracle, der bruges til at scanne, registrere og behandle dokumenter i virksomheder. CVE-2026-46781 er en kritisk sårbarhed i systemets klientpakke (Client Bundle), der kommunikerer via en protokol kaldet RMI (Remote Method Invocation – en måde for programmer at tale med hinanden over netværket). Fejlen gør det muligt for en angriber at få fuld kontrol over systemet uden at have et brugernavn eller kodeord. Angriberen behøver kun netværksadgang og ingen hjælp fra en bruger. Sårbarheden er vurderet til den højest mulige alvorlighedsgrad: CVSS 10.0.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Enterprise Capture i version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk mellemstore og større virksomheder inden for bank, forsikring, offentlig administration og sundhedssektoren, der anvender dette system til dokumenthåndtering og arkivering. Hvis din virksomhed bruger Oracle Fusion Middleware som platform, bør du undersøge, om I har WebCenter Enterprise Capture installeret.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan overtage hele Oracle WebCenter Enterprise Capture-systemet. Det betyder i praksis:
- Fuld adgang til data: Angriberen kan læse og kopiere alle dokumenter og filer i systemet, herunder følsomme personoplysninger og forretningshemmeligheder.
- Manipulation af data: Angriberen kan ændre, slette eller indsætte falske dokumenter og registreringer.
- Systemnedbrud: Angriberen kan gøre systemet utilgængeligt for din virksomhed.
- Spredning til andre systemer: Fordi sårbarheden har det, der kaldes et ‘scope change’, kan angrebet brede sig til andre Oracle-produkter og systemer i dit netværk.
Hvor alvorligt er det?
Dette er den højeste mulige alvorlighedsgrad – CVSS 10.0 (Kritisk). Alle tre sikkerhedsprincipper er i fare: fortrolighed, integritet og tilgængelighed. Angrebet kræver ingen forhåndsviden, intet login og ingen brugerinteraktion, og det kan udføres direkte over internettet. Derudover er der risiko for, at angrebet spreder sig til tilknyttede systemer. Der er ingen formildende faktorer i selve sårbarhedens natur – det er så alvorligt, som en sårbarhed kan blive.
Hvad gør jeg nu?
Hvis din virksomhed bruger Oracle WebCenter Enterprise Capture, skal du handle hurtigt. Følg disse trin:
- Identificér om I er berørt: Kontakt din IT-ansvarlige eller leverandør og find ud af, om I kører Oracle WebCenter Enterprise Capture version 12.2.1.4.0 eller 14.1.2.0.0.
- Begræns adgang straks: Hvis systemet er tilgængeligt fra internettet, bør du midlertidigt afskære ekstern adgang via firewall (en digital mur der kontrollerer netværkstrafik), indtil patchen er installeret.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (sikkerhedsrettelse) som del af deres Critical Patch Update. Sørg for at din IT-ansvarlige installerer den hurtigst muligt.
- Gennemgå logfiler: Bed din IT-ansvarlige om at undersøge systemets logfiler for tegn på uautoriseret adgang, særligt via RMI-protokollen.
- Orienter relevante parter: Hvis der er behandlet personoplysninger i systemet, og I mistænker et brud, kan I have pligt til at underrette Datatilsynet inden for 72 timer.
Patch straks – maks. 24-72 timer
Med en CVSS-score på 10.0 og ingen tekniske forhindringer for en angriber anbefaler vi, at du behandler dette som en akut hændelse. Kontakt din IT-leverandør eller interne IT-afdeling i dag og sørg for, at Oracles sikkerhedsopdatering installeres inden for de næste 24-72 timer. Begræns i mellemtiden RMI-adgangen (port 1099 og lignende) i jeres firewall, så systemet ikke kan nås udefra. Hos Auroa hjælper vi gerne med at vurdere jeres eksponering og prioritere indsatsen.
Tidslinje
Konkrete eksempler
Direkte overtagelse via åbent netværk
En angriber scanner internettet for servere med åbne RMI-porte (typisk port 1099) og identificerer en virksomheds Oracle WebCenter Enterprise Capture-installation. Via et automatiseret angrebsværktøj sender angriberen en ondsindet forespørgsel til systemet, der udnytter den ubeskyttede RMI-grænseflade. Inden for minutter har angriberen fuld administratoradgang til systemet og kan downloade alle scannede dokumenter, herunder kontrakter og personalefiler.
Angreb fra internt kompromitteret netværk
En medarbejder modtager en phishing-mail og klikker på et ondsindet link, der installerer malware (skadelig software) på hans computer. Angriberen bag malwaren bruger nu medarbejderens computer som springbræt og sender angreb mod Oracle WebCenter Enterprise Capture internt i virksomhedens netværk via RMI. Fordi sårbarheden ikke kræver et login, får angriberen straks systemadgang og begynder at kryptere filer som løsesumsangreb (ransomware).
Spredning til tilknyttede Oracle-systemer
En angriber udnytter sårbarheden til at overtage Oracle WebCenter Enterprise Capture og bruger herefter de opnåede rettigheder og legitimationsoplysninger til at bevæge sig videre ind i andre Oracle Fusion Middleware-komponenter i virksomhedens infrastruktur. Det kan føre til, at angriberen også kompromitterer fx Oracle Database eller Oracle WebLogic Server, hvilket potentielt lammer hele virksomhedens digitale drift.
Ofte stillede spørgsmål
Hvad er RMI, og hvorfor er det farligt her?
RMI står for Remote Method Invocation og er en teknologi, der lader programmer kommunikere med hinanden over et netværk. I dette tilfælde er RMI-grænsefladen i Oracle WebCenter Enterprise Capture ikke tilstrækkeligt beskyttet, så en angriber udefra kan sende kommandoer til systemet, som om de var en legitim del af programmet – uden at logge ind.
Er vi i fare, hvis systemet kun er tilgængeligt internt i virksomheden?
Risikoen er lavere, men ikke elimineret. Hvis en angriber først har fået adgang til jeres interne netværk – fx via phishing eller et kompromitteret medarbejderlogin – kan de stadig udnytte sårbarheden. Vi anbefaler at installere patchen uanset om systemet er internt eller eksternt tilgængeligt.
Hvad betyder 'scope change' i forbindelse med denne sårbarhed?
‘Scope change’ betyder, at et vellykket angreb ikke kun påvirker det angrebne system (Oracle WebCenter Enterprise Capture), men potentielt også andre systemer og produkter, der er forbundet til det. Det kan fx være andre Oracle-produkter eller interne servere i jeres netværk, hvilket gør angrebet langt mere farligt end normalt.
Skal vi anmelde det til Datatilsynet, hvis vi er blevet angrebet?
Hvis I har grund til at tro, at personoplysninger er blevet kompromitteret som følge af et angreb, ja – så har I som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter, at I er blevet opmærksomme på bruddet. Det gælder under GDPR (databeskyttelsesforordningen). Kontakt eventuelt en juridisk rådgiver for at vurdere jeres konkrete situation.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Tegn på et angreb kan inkludere usædvanlig aktivitet i systemets logfiler, ukendte brugersessioner, ændringer i dokumenter eller konfigurationer, eller at systemet opfører sig anderledes end normalt. Bed din IT-ansvarlige om at gennemgå logs for RMI-forbindelser fra ukendte IP-adresser (netværksadresser). Auroa kan hjælpe med en sådan gennemgang.
Hvad gør Oracle for at løse problemet?
Oracle har udgivet en officiel sikkerhedsopdatering (patch) som del af deres Critical Patch Update-program. Opdateringen dækker de berørte versioner 12.2.1.4.0 og 14.1.2.0.0. Du finder opdateringen via Oracles supportportal (My Oracle Support), og din IT-ansvarlige bør installere den hurtigst muligt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Enterprise Capture product of Oracle Fusion Middleware (component: Client Bundle). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via RMI to compromise Oracle WebCenter Enterprise Capture. While the vulnerability is in Oracle WebCenter Enterprise Capture, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Enterprise Capture. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
