CVE-2026-46805: Kritisk fejl i Oracle WebCenter Content
Kritisk sårbarhed i Oracle WebCenter Content 14.1.2.0.0 giver angribere fuld adgang til dine dokumenter og data via netværket.
Hvad er det?
CVE-2026-46805 er en kritisk sårbarhed i Oracle WebCenter Content, som er en platform til håndtering af virksomhedsdokumenter og digitalt indhold. Sårbarheden gør det muligt for en angriber uden forudgående adgang eller login at kompromittere systemet via internettet. Det eneste, der kræves, er at en medarbejder i din virksomhed klikker på et ondsindet link eller besøger en manipuleret side — herefter kan angriberen få fuld adgang til alle dokumenter og data i systemet. Sårbarheden kan desuden påvirke andre systemer, der er forbundet til Oracle WebCenter Content (såkaldt scope change), hvilket øger risikoen betydeligt.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der anvender Oracle WebCenter Content version 14.1.2.0.0. Det er typisk mellemstore og større virksomheder, der bruger denne platform til at styre dokumenter, kontrakter, fakturaer og andet forretningskritisk indhold. Hvis din virksomhed bruger Oracle Fusion Middleware-produkter, bør du undersøge, om I er berørt.
Hvad kan ske?
Hvis en angriber udnytter sårbarheden, kan følgende ske:
- Angriberen kan læse alle dokumenter og filer gemt i Oracle WebCenter Content — inkl. fortrolige kontrakter, persondata og forretningshemmeligheder.
- Angriberen kan oprette, ændre eller slette kritiske data uden din viden.
- Angrebet kan sprede sig til andre systemer, der er integreret med Oracle WebCenter Content.
- Virksomheden kan blive udsat for brud på GDPR (persondataforordningen), med potentielle bøder og omdømmeskade til følge.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,3 ud af 10 på CVSS-skalaen (den anerkendte standard for sårbarhedsvurdering), hvilket placerer den i kategorien kritisk. Det er en af de højeste mulige scorer. Angrebet kræver ingen særlige tekniske rettigheder og er let at udføre over internettet. Det eneste krav er, at én bruger i din virksomhed interagerer med et ondsindet element — f.eks. klikker på et link. Konsekvenserne for fortrolighed og dataintegritet er maksimale.
Hvad gør jeg nu?
Handl hurtigt. Her er hvad du skal gøre:
- Find ud af om I bruger Oracle WebCenter Content 14.1.2.0.0 — spørg din IT-ansvarlige eller leverandør med det samme.
- Installer Oracles sikkerhedsopdatering så snart den er tilgængelig via Oracles Critical Patch Update (CPU) — se Oracles supportportal.
- Begræns adgangen til Oracle WebCenter Content midlertidigt, så kun nødvendige brugere og systemer kan nå det, mens I venter på patchen.
- Informér medarbejderne om ikke at klikke på ukendte links eller vedhæftede filer i perioden — angrebet kræver menneskelig interaktion.
- Overvåg systemlogfiler for usædvanlig aktivitet, f.eks. uventede login-forsøg eller ændringer i dokumenter.
- Kontakt Auroa hvis du er i tvivl om din eksponering, eller hvis du har brug for hjælp til at implementere sikkerhedsopdateringen.
Patch hurtigst muligt — kritisk risiko
Vi anbefaler, at du behandler denne sårbarhed som akut og prioriterer opdatering af Oracle WebCenter Content øverst på din IT-opgaveliste denne uge. Sørg desuden for, at systemet ikke er unødigt eksponeret mod internettet i mellemtiden. Har du ikke en dedikeret IT-ansvarlig, er det et godt tidspunkt at få professionel hjælp — Auroa kan hjælpe dig med at vurdere din eksponering og gennemføre de nødvendige tiltag hurtigt og sikkert.
Tidslinje
Konkrete eksempler
Phishing-angreb mod medarbejder
En angriber sender en e-mail til en medarbejder i din virksomhed med et link, der ser ud til at pege på en legitim Oracle WebCenter-side. Når medarbejderen klikker på linket, udnytter angriberens side sårbarheden i Oracle WebCenter Content. Angriberen får dermed fuld adgang til alle dokumenter på platformen — herunder kontrakter, fakturaer og persondata — uden at medarbejderen opdager noget usædvanligt.
Manipulation af kritiske forretningsdokumenter
En konkurrent eller kriminel aktør udnytter sårbarheden til ikke blot at læse, men også ændre dokumenter i Oracle WebCenter Content. Det kan f.eks. betyde, at kontraktvilkår ændres, fakturaer manipuleres, eller vigtige godkendelsesdokumenter slettes. Da ændringerne sker lydløst, opdages de måske først uger eller måneder senere — med potentielt store forretningsmæssige konsekvenser.
Lateral bevægelse til andre systemer
Efter at have kompromitteret Oracle WebCenter Content bruger angriberen adgangen som springbræt til andre systemer, der er integreret med platformen — f.eks. ERP-systemer (forretningsstyringssystemer) eller interne databaser. Dette kan føre til et langt større databrud end det oprindelige angreb og gøre oprydningsarbejdet væsentligt mere komplekst og kostbart.
Ofte stillede spørgsmål
Bruger vi Oracle WebCenter Content — hvordan finder jeg ud af det?
Spørg din IT-ansvarlige eller den leverandør, der driver jeres systemer. Oracle WebCenter Content er en del af Oracle Fusion Middleware og bruges typisk til at håndtere og arkivere virksomhedsdokumenter. Hvis I bruger Oracle-produkter til dokumentstyring, er det værd at tjekke versionsnummeret — den berørte version er 14.1.2.0.0.
Skal en medarbejder gøre noget forkert for at angrebet lykkes?
Ja, angrebet kræver, at en medarbejder interagerer med noget — typisk ved at klikke på et ondsindet link eller besøge en manipuleret hjemmeside. Det gør det muligt at udforme et phishing-angreb (et bedrageri-forsøg via e-mail eller besked) rettet mod dine medarbejdere. Derfor er det vigtigt at gøre dem opmærksomme på risikoen, mens I arbejder på at installere opdateringen.
Hvad menes der med 'scope change' — at angrebet kan ramme andre systemer?
Scope change betyder, at et vellykket angreb ikke kun rammer Oracle WebCenter Content, men potentielt også andre systemer, der er forbundet til det — f.eks. andre Oracle-applikationer eller interne systemer, der henter data fra platformen. Det forstørrer den potentielle skade betydeligt og er en af grundene til den høje CVSS-score.
Er der en midlertidig løsning, hvis vi ikke kan opdatere med det samme?
Ja. Som midlertidig foranstaltning bør I begrænse adgangen til Oracle WebCenter Content, så systemet kun er tilgængeligt fra godkendte netværk eller via VPN (en krypteret forbindelse). Undgå at eksponere systemet direkte mod internettet. Det fjerner ikke sårbarheden, men reducerer chancen for at en angriber kan udnytte den.
Kan vi blive ramt af GDPR-bøder, hvis data er blevet stjålet?
Ja, hvis persondata om f.eks. kunder, medarbejdere eller samarbejdspartnere er tilgået eller lækket, har I pligt til at anmelde det til Datatilsynet inden for 72 timer. Manglende anmeldelse eller utilstrækkelig sikring kan medføre bøder. Kontakt din databehandlingsansvarlige eller en juridisk rådgiver, hvis I har mistanke om et brud.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Kig i systemlogfiler for usædvanlige aktiviteter — f.eks. login fra ukendte IP-adresser, ændringer i dokumenter du ikke genkender, eller adgang til filer uden for normal arbejdstid. Har I ikke adgang til logfiler, eller er I usikre på, hvad I kigger efter, kan Auroa hjælpe med en gennemgang af jeres systemer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). The supported version that is affected is 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle WebCenter Content, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle WebCenter Content accessible data as well as unauthorized access to critical data or complete access to all Oracle WebCenter Content accessible data. CVSS 3.1 Base Score 9.3 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
