CVE-2026-46803: Kritisk sårbarhed i Oracle WebCenter Portal
Kritisk sårbarhed i Oracle WebCenter Portal giver angribere fuld kontrol over systemet uden login — opdater straks.
Hvad er det?
Oracle WebCenter Portal er en webplatform, som mange virksomheder bruger til at samle indhold, dokumenter og forretningsprocesser på ét sted. CVE-2026-46803 er en kritisk sårbarhed i platformens sikkerhedsramme (det lag, der styrer adgangskontrol og login). Fejlen gør det muligt for en angriber at angribe systemet over internettet uden at have et brugernavn eller adgangskode. Der kræves hverken teknisk snilde eller hjælp fra dig eller dine medarbejdere — angrebet kan ske helt automatisk. Berørte versioner er 12.2.1.4.0 og 14.1.2.0.0.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0 og har portalen tilgængelig via internettet eller et internt netværk. Det kan være mellemstore virksomheder, offentlige institutioner eller leverandører, der bruger Oracle Fusion Middleware som grundlag for deres digitale arbejdsplads, intranet eller samarbejdsplatform.
Hvad kan ske?
En angriber kan opnå fuld kontrol over Oracle WebCenter Portal. Det betyder i praksis:
- Datatyveri: Alle data i portalen — dokumenter, brugeroplysninger, forretningskritisk indhold — kan læses og kopieres.
- Manipulation: Angriberen kan ændre eller slette indhold og konfigurationer.
- Nedbrud: Portalen kan gøres utilgængelig for dine medarbejdere og kunder.
- Spredning: Fordi angrebet kan påvirke andre systemer (scope change), risikerer du, at andre dele af din IT-infrastruktur også kompromitteres.
Hvor alvorligt er det?
Dette er den højest mulige alvorlighedsgrad: CVSS 10.0 — Kritisk. Det er et netværksbaseret angreb med lav kompleksitet, ingen krav om login og ingen krav om interaktion fra brugere. Derudover er scope-påvirkningen markeret som udvidet, hvilket betyder, at angrebet kan brede sig til andre systemer end selve portalen. Kort sagt: Har du en sårbar version eksponeret, er risikoen for et succesfuldt angreb meget høj.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24-48 timer:
- Identificér om du er ramt: Spørg din IT-ansvarlige eller leverandør, om I kører Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0.
- Begræns adgang midlertidigt: Hvis portalen er tilgængelig fra internettet, så overvej at lukke ekstern adgang via firewall (netværkssikkerhedsbarriere), indtil opdateringen er installeret.
- Hent og installer Oracles patch: Oracle har udsendt en sikkerhedsopdatering. Din IT-leverandør skal installere den via Oracles Critical Patch Update (CPU).
- Gennemgå logs: Bed din IT-ansvarlige om at tjekke systemlogs for tegn på unormal aktivitet de seneste uger.
- Informér relevante parter: Hvis I håndterer persondata, og der er tegn på brud, skal du vurdere om Datatilsynet skal underrettes inden for 72 timer ifølge GDPR.
Opdater inden for 24-48 timer
Med en CVSS-score på 10.0 og ingen krav om hverken login eller brugerinteraktion er dette en sårbarhed, du ikke kan vente med at håndtere. Vi anbefaler, at du kontakter din IT-leverandør i dag og beder dem prioritere installation af Oracles patch. Kan opdateringen ikke ske med det samme, bør ekstern adgang til portalen lukkes ned som en midlertidig foranstaltning. Vær særligt opmærksom på, om andre systemer er tilknyttet portalen, da angrebet kan sprede sig.
Tidslinje
Konkrete eksempler
Automatiseret scanning og overtagelse
En angriber bruger et automatisk scanningsværktøj til at finde alle Oracle WebCenter Portal-installationer på internettet, der kører de sårbare versioner. Fordi ingen login kræves, sender værktøjet direkte ondsindede HTTP-anmodninger til portalen og overtager systemet på få sekunder — uden at nogen i virksomheden opdager det med det samme.
Datatyveri af forretningskritiske dokumenter
En konkurrent eller cyberkriminel gruppe udnytter sårbarheden til at tilgå alle dokumenter og data lagret i portalen — herunder kontrakter, kundelister og interne rapporter. Dataene eksfiltreres (overføres til angribers server) uden spor i de normale brugerlogs, da angrebet sker via sikkerhedsrammens fejl og ikke via et normalt brugerlogin.
Springbræt til resten af IT-infrastrukturen
Efter at have overtaget Oracle WebCenter Portal bruger angriberen den kompromitterede server som et udgangspunkt for at angribe andre systemer på virksomhedens interne netværk — fx den database, portalen er forbundet til, eller andre Oracle Fusion Middleware-komponenter. Dette kan føre til et fuldt ransomware-angreb (løsesumsangreb) på hele virksomhedens infrastruktur.
Ofte stillede spørgsmål
Hvordan ved jeg, om min virksomhed bruger Oracle WebCenter Portal?
Spørg din IT-ansvarlige eller den leverandør, der drifter jeres systemer. Oracle WebCenter Portal er typisk brugt som et intranet, en dokumentportal eller en samarbejdsplatform bygget på Oracle Fusion Middleware. Kig også efter Oracle-licenser i jeres softwareoversigt.
Kan angribere allerede have udnyttet sårbarheden?
Det er muligt. Sårbarheden er offentliggjort, og proof-of-concept (teknisk demonstration af angrebet) kan være tilgængeligt. Du bør bede din IT-ansvarlige om at gennemgå systemlogs for unormal aktivitet, særligt uventede logins, store dataoverførsler eller konfigurationsændringer.
Hvad er et 'scope change', og hvorfor er det farligt?
Scope change betyder, at et vellykket angreb ikke kun rammer det sårbare system, men kan sprede sig til andre systemer på samme netværk eller infrastruktur. I praksis kan en angriber bruge Oracle WebCenter Portal som et springbræt til at angribe fx databaser, filservere eller andre forretningssystemer, der er forbundet til portalen.
Er der en hurtig midlertidig løsning, hvis vi ikke kan patche med det samme?
Ja. Den mest effektive midlertidige foranstaltning er at blokere ekstern adgang til Oracle WebCenter Portal via jeres firewall, så kun interne brugere på jeres eget netværk kan nå systemet. Det er ikke en permanent løsning, men det reducerer angrebsfladen markant, mens I forbereder opdateringen.
Kræver opdateringen nedetid?
Installation af Oracles Critical Patch Update kræver typisk en planlagt nedetid på systemet. Tal med din IT-leverandør om at planlægge et vedligeholdelsesvindue hurtigst muligt — gerne uden for normal arbejdstid for at minimere gene for medarbejderne.
Hvad sker der, hvis vi ikke opdaterer?
Har I en sårbar version eksponeret, er risikoen for et vellykket angreb meget høj. Konsekvenserne kan være datatyveri, nedbrud af portalen og spredning til andre systemer. Derudover kan I risikere brud på GDPR, hvis persondata kompromitteres, hvilket kan medføre bøder og krav om underretning af de berørte personer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Security Framework). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
