CVE-2026-46801: Kritisk sårbarhed i Oracle WebCenter Sites
Kritisk sårbarhed i Oracle WebCenter Sites giver angribere fuld adgang uden login – opdater straks.
Hvad er det?
Oracle WebCenter Sites er et system til at bygge og styre hjemmesider og digitalt indhold, og det bruges typisk af større virksomheder og organisationer. CVE-2026-46801 er en kritisk sårbarhed i dette system, der gør det muligt for en angriber at overtage hele løsningen uden at kende et brugernavn eller adgangskode. Angriberen behøver kun adgang til netværket via HTTP (almindelig internetforbindelse) og kan derefter tage fuld kontrol. Fejlen er nemlig nem at udnytte – der kræves ingen særlig viden, ingen brugerinteraktion og ingen rettigheder på forhånd. Oracle har anerkendt fejlen og den berører version 12.2.1.4.0 og 14.1.2.0.0 af produktet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Sites i version 12.2.1.4.0 eller 14.1.2.0.0. Det gælder både systemer, der er tilgængelige på internettet, og interne systemer, der kan nås fra virksomhedens netværk. Hvis I bruger Oracle Fusion Middleware som del af jeres digitale infrastruktur eller hjemmesideplatform, bør I tjekke, om I er berørt.
Hvad kan ske?
Lykkes et angreb, kan angriberen overtage hele Oracle WebCenter Sites-installationen. Det betyder i praksis:
- Fortrolighed: Angriberen kan læse alle data i systemet, herunder indhold, brugerprofiler og konfigurationer.
- Integritet: Angriberen kan ændre eller slette indhold og data – for eksempel manipulere jeres hjemmeside.
- Tilgængelighed: Angriberen kan lukke systemet ned eller gøre det utilgængeligt for jer og jeres kunder.
- Videre angreb: Med fodfæste i systemet kan angriberen forsøge at bevæge sig videre ind i andre dele af jeres netværk.
Hvor alvorligt er det?
Denne sårbarhed har fået den højest mulige CVSS-score på 9.8 ud af 10 og er klassificeret som kritisk. Det skyldes, at den kan udnyttes over internettet uden login, uden brugerhjælp og med meget lav teknisk kompleksitet. Resultatet er fuld overtagelse af systemet. Det er sjældent, at alle disse faktorer er til stede på samme tid, og det gør denne sårbarhed til en af de mest alvorlige kategorier, der findes.
Hvad gør jeg nu?
Hvis I bruger Oracle WebCenter Sites, skal I handle hurtigt. Her er de vigtigste skridt:
- Find ud af om I er berørt: Tjek om I kører Oracle WebCenter Sites version 12.2.1.4.0 eller 14.1.2.0.0. Det kan jeres it-leverandør eller systemadministrator hjælpe med.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Installer den hurtigst muligt.
- Begræns adgangen midlertidigt: Hvis I ikke kan opdatere med det samme, så overvej at begrænse adgangen til systemet via firewall, så det ikke er direkte tilgængeligt fra internettet, indtil opdateringen er på plads.
- Kontakt jeres it-leverandør: Hvis I er usikre på, om I er berørt, eller hvad I skal gøre, så kontakt jeres it-leverandør eller Auroa for rådgivning.
- Overvåg systemet: Tjek om der har været usædvanlig aktivitet i systemet, og dokumentér hvad I finder.
Opdater inden for 24-72 timer
Med en CVSS-score på 9.8 og mulighed for fuld systemovertagelse uden login er dette en sårbarhed, der kræver omgående handling. Vi anbefaler, at I installerer Oracles sikkerhedsopdatering hurtigst muligt – helst inden for 24-72 timer. Kan I ikke opdatere med det samme, bør I straks begrænse netværksadgangen til det berørte system via firewall eller netværkssegmentering. Kontakt os gerne, hvis I har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen.
Tidslinje
Konkrete eksempler
Angriber overtager hjemmeside og manipulerer indhold
En angriber scanner internettet for servere, der kører Oracle WebCenter Sites. Uden brugernavn eller adgangskode sender angriberen en særligt udformet HTTP-forespørgsel til den sårbare server og opnår fuld administratoradgang. Angriberen ændrer herefter indholdet på virksomhedens hjemmeside, for eksempel ved at indsætte falske nyheder, phishing-links (svindelfælder) eller skadeligt indhold, der kan ramme jeres besøgende kunder.
Angriber bruger systemet som springbræt ind i virksomhedens netværk
En angriber udnytter sårbarheden til at få adgang til Oracle WebCenter Sites-serveren. Derfra bruger angriberen serverens netværksforbindelser til at bevæge sig videre ind i virksomhedens interne systemer, eksempelvis ekonomisystemer, e-mail eller fildrev. Det der startede som et angreb på en hjemmesideplatform, kan ende med adgang til forretningskritiske data.
Ransomware-installation via ubeskyttet server
En angriber udnytter sårbarheden til at installere ransomware (software der krypterer jeres data og kræver løsepenge) på serveren. Alle filer og konfigurationer på WebCenter Sites-installationen krypteres, og virksomheden mister adgang til sin hjemmesideplatform. Angriberen kræver betaling for at udlevere dekrypteringsnøglen, og driften er lammet indtil situationen er løst.
Ofte stillede spørgsmål
Hvordan ved jeg, om vi bruger Oracle WebCenter Sites?
Oracle WebCenter Sites er typisk en del af en større Oracle Fusion Middleware-installation. Det bruges ofte til at drive virksomhedens hjemmeside eller indholdsstyring. Spørg jeres it-afdeling eller it-leverandør om I har dette system installeret, og hvilken version det drejer sig om.
Kan vi risikere at blive angrebet, selv om vores system ikke er på internettet?
Ja, det er muligt. Selv om risikoen er lavere for systemer, der kun er tilgængelige internt på jeres netværk, kan en angriber, der allerede er inde på netværket, udnytte sårbarheden. Har I ansatte, der arbejder hjemmefra, eller leverandører med adgang til jeres netværk, øges risikoen yderligere.
Er der et alternativ til opdateringen, hvis vi ikke kan installere den med det samme?
Det bedste alternativ på kort sigt er at begrænse adgangen til Oracle WebCenter Sites via en firewall (et digitalt hegn), så systemet ikke er tilgængeligt fra internettet eller fra dele af netværket, der ikke har behov for adgang. Dette er dog kun en midlertidig foranstaltning – opdateringen skal installeres så hurtigt som muligt.
Hvad gør vi, hvis vi tror, vi allerede er blevet angrebet?
Isolér straks systemet fra netværket for at begrænse skaden. Kontakt jeres it-leverandør eller Auroa, og undgå at slette logfiler, da de er vigtige for at forstå, hvad der er sket. Overvej om I har pligt til at anmelde bruddet til Datatilsynet, hvis der er tale om persondata – det kræver normalt anmeldelse inden for 72 timer.
Hvorfor er scoren så høj som 9.8?
CVSS-scoren afspejler, hvor let en sårbarhed er at udnytte, og hvor stor skaden kan være. I dette tilfælde kan angrebet udføres over internettet uden login, uden at en bruger behøver at gøre noget, og det er teknisk nemt at gennemføre. Resultatet er fuld overtagelse af systemet. Alle disse faktorer tilsammen giver den høje score på 9.8 ud af 10.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Sites product of Oracle Fusion Middleware (component: WebCenter Sites). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Sites. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Sites. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
