CVE-2026-46802: Kritisk sårbarhed i Oracle WebCenter Portal
Kritisk sårbarhed i Oracle WebCenter Portal giver angribere fuld kontrol over systemet via internettet.
Hvad er det?
CVE-2026-46802 er en kritisk sårbarhed i Oracle WebCenter Portal, som er en softwareplatform fra Oracle til at bygge og drive virksomhedsportaler og intranetløsninger. Fejlen sidder i platformens sikkerhedsramme (Security Framework) og gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele systemet. Angrebet kræver ingen fysisk adgang, ingen særlige tekniske færdigheder og ingen hjælp fra dig eller dine medarbejdere — det kan ske fuldt automatisk over internettet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0. WebCenter Portal bruges typisk af mellemstore og større virksomheder som intranet, kundeportal eller samarbejdsplatform. Hvis din virksomhed har en Oracle-baseret portalløsning, bør du straks undersøge, hvilken version I kører. Også tredjepartssystemer, der er integreret med portalen, kan blive påvirket på grund af den såkaldte scope change (ændring i omfang — dvs. angrebet kan sprede sig til andre systemer).
Hvad kan ske?
En vellykket udnyttelse af denne sårbarhed giver angriberen fuld kontrol over Oracle WebCenter Portal. Det betyder i praksis:
- Datatyveri: Angriberen kan læse alle data i portalen, herunder personoplysninger, forretningsdokumenter og loginoplysninger.
- Manipulation: Angriberen kan ændre eller slette indhold og konfigurationer i systemet.
- Nedbrud: Portalen kan gøres utilgængelig for dine brugere og kunder.
- Spredning: Angrebet kan brede sig til andre systemer, som portalen er forbundet med, f.eks. databaser eller interne applikationer.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9,9 ud af 10 på CVSS-skalaen (kritisk). Det er næsten det højest mulige. Tre faktorer gør den særligt farlig:
- Lav angrebskompleksitet: Ingen særlige tekniske forudsætninger kræves.
- Kun lav adgang krævet: En angriber behøver blot en helt almindelig brugerkonto — f.eks. en stjålet eller gættet adgangskode.
- Scope change: Angrebet kan sprede sig fra portalen til andre dele af din IT-infrastruktur.
Scoringen afspejler maksimal påvirkning på fortrolighed, integritet og tilgængelighed af dine data og systemer.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24-72 timer:
- Find ud af om I er ramt: Bed din IT-ansvarlige eller leverandør om at bekræfte, hvilken version af Oracle WebCenter Portal I kører. De berørte versioner er 12.2.1.4.0 og 14.1.2.0.0.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver løbende sikkerhedsrettelser (patches) via deres Critical Patch Update-program. Kontakt Oracle Support eller din Oracle-leverandør for at få den nyeste patch til jeres version.
- Begræns adgangen midlertidigt: Hvis I ikke kan patche med det samme, så overvej at begrænse adgangen til portalen til kun betroede netværk eller VPN (krypteret fjernforbindelse), indtil opdateringen er installeret.
- Gennemgå brugerkonti: Tjek om der er konti, der ikke bør have adgang, og deaktiver dem. Skift adgangskoder på alle konti med adgang til portalen.
- Overvåg for mistænkelig aktivitet: Bed IT om at gennemgå logfiler (systemets aktivitetsregistreringer) for usædvanlig adfærd de seneste dage.
Patch inden for 24-72 timer
Hos Auroa anbefaler vi, at I behandler denne sårbarhed som en akut sag. En CVSS-score på 9,9 betyder, at risikoen for et vellykket angreb er meget høj, og konsekvenserne kan være alvorlige. Installer Oracles patch øjeblikkeligt, og begræns adgangen til portalen via netværkssikkerhed (firewall eller VPN), mens opdateringen forberedes. Har I ikke interne ressourcer til at håndtere dette, er du velkommen til at kontakte os — vi hjælper med at vurdere jeres eksponering og gennemføre de nødvendige tiltag.
Tidslinje
Konkrete eksempler
Angriber overtager portal via stjålet medarbejderkonto
En angriber skaffer sig adgang til en medarbejders login-oplysninger via en phishing-mail (svindel-e-mail, der lokker til at afgive sin adgangskode). Med denne almindelige brugerkonto udnytter angriberen CVE-2026-46802 til at eskalere sine rettigheder og opnå fuld administratorkontrol over WebCenter Portal. Derfra kan angriberen eksportere alle dokumenter, ændre indhold og låse legitime brugere ude.
Automatiseret scanning og masseangreb
Kriminelle grupper scanner automatisk internettet for sårbare Oracle WebCenter Portal-installationer. Når de finder en, afprøver de kendte eller lækkede brugernavne og adgangskoder (credential stuffing). Lykkes det at logge ind med blot én konto, bruges CVE-2026-46802 til øjeblikkeligt at overtage hele systemet — ofte uden at virksomheden opdager det før skaden er sket.
Lateral bevægelse til interne systemer
En angriber udnytter sårbarheden til at kompromittere portalen og bruger den herefter som springbræt (lateral movement) ind i virksomhedens interne netværk. Da portalen typisk er integreret med databaser og andre forretningssystemer, kan angriberen bevæge sig videre og eksempelvis installere ransomware (løsesumsoftware) eller stjæle fortrolige kundedata fra systemer, der normalt ikke er tilgængelige udefra.
Ofte stillede spørgsmål
Skal jeg bruge Oracle WebCenter Portal for at være i fare?
Ja. Kun organisationer der aktivt kører Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0 er direkte berørt. Kører I en anden version eller et helt andet portalsystem, er I ikke sårbare over for netop denne CVE. Er du i tvivl om hvilken version I har, så spørg din IT-leverandør.
Kan en angriber udnytte sårbarheden uden at kende vores adgangskoder?
Angriberen skal have en gyldig — men helt almindelig — brugerkonto på portalen. Det betyder, at en stjålen, gættet eller phishet (svindlet til) adgangskode er nok. Angriberen behøver ikke administratorrettigheder. Derfor er det vigtigt at sikre stærke, unikke adgangskoder og overveje to-faktor-godkendelse (ekstra bekræftelse ved login).
Hvad betyder 'scope change', og hvorfor er det farligt?
Scope change betyder, at et vellykket angreb ikke stopper ved selve portalen. Angriberen kan potentielt bevæge sig videre til andre systemer, som portalen kommunikerer med — f.eks. databaser, ERP-systemer eller andre interne applikationer. Det gør sårbarheden særligt alvorlig, fordi skaden kan sprede sig langt ud over det ene system.
Hvad gør jeg, hvis vi ikke kan patche med det samme?
Som midlertidig foranstaltning (workaround) bør I straks begrænse netværksadgangen til portalen, så den kun er tilgængelig via VPN eller fra kendte, godkendte IP-adresser. Overvej at suspendere ekstern adgang helt, indtil patchen er installeret. Det reducerer angrebsfladen markant, selvom det ikke fjerner selve sårbarheden.
Har Oracle allerede udgivet en rettelse?
Oracle udgiver sikkerhedsrettelser gennem deres kvartalsvise Critical Patch Update (CPU)-program samt via særskilte sikkerhedsadvarsler. Da denne sårbarhed er kritisk, bør du kontakte Oracle Support eller din Oracle-forhandler direkte for at få den nyeste patch til jeres specifikke version hurtigst muligt.
Skal vi anmelde et brud til Datatilsynet, hvis vi er blevet angrebet?
Hvis et angreb har ført til, at personoplysninger er blevet tilgået, ændret eller slettet uden tilladelse, er I som udgangspunkt forpligtet til at anmelde det til Datatilsynet inden 72 timer efter I opdager bruddet — dette følger af GDPR. Kontakt din databeskyttelsesrådgiver (DPO) eller en juridisk rådgiver, hvis I er i tvivl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Security Framework). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
