CVE-2026-46807
Kritisk

CVE-2026-46807: Kritisk sårbarhed i Oracle Identity Manager

Kritisk sårbarhed i Oracle Identity Manager lader angribere overtage systemet uden login – patch straks.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 24-72 timer

Hvad er det?

CVE-2026-46807 er en kritisk sårbarhed i Oracle Identity Manager, som er en del af Oracle Fusion Middleware. Sårbarheden findes i et ældre brugergrænsefladekomponent kaldet ‘OIM Legacy UI’. En angriber kan udnytte den via netværksprotokoller kaldet T3 og IIOP – begge er kommunikationskanaler som Oracle-systemer bruger til at tale sammen. Det farlige er, at angrebet kan gennemføres helt uden brugernavn eller adgangskode, og det kræver ingen hjælp fra dig eller dine medarbejdere. Resultatet kan være fuld overtagelse af Identity Manager-systemet.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der kører Oracle Identity Manager version 12.2.1.4.0 eller 14.1.2.1.0 som en del af Oracle Fusion Middleware. Oracle Identity Manager bruges typisk til at styre medarbejderes adgang til systemer og applikationer – altså et centralt sikkerhedssystem. Hvis din virksomhed bruger Oracle-platforme til brugeradministration eller adgangsstyring, bør du straks undersøge, om I er berørt.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan de opnå fuld kontrol over Oracle Identity Manager. Det betyder i praksis:

  • Adgang til alle følsomme brugerdata og identitetsoplysninger i systemet
  • Mulighed for at oprette, ændre eller slette brugerkonti og adgangsrettigheder
  • Potentielt adgang til alle de systemer, som Identity Manager styrer adgangen til
  • Systemet kan gøres utilgængeligt, så medarbejdere mister adgang til kritiske applikationer
  • Angribere kan skjule sig i systemet og bevæge sig videre til andre dele af virksomhedens IT-infrastruktur

Hvor alvorligt er det?

Denne sårbarhed har fået den højest mulige CVSS-score på 9.8 ud af 10, hvilket klassificeres som kritisk. Det skyldes en kombination af meget alvorlige faktorer: angrebet kan komme fra internettet, det er nemt at udføre, det kræver ingen forudgående adgang eller brugerinteraktion, og konsekvenserne rammer fuldt ud på alle tre sikkerhedsdimensioner – fortrolighed, integritet og tilgængelighed. Oracle Identity Manager er desuden et nøglesystem til adgangsstyring, så et kompromitteret system kan have dominoeffekt på resten af virksomhedens IT.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er de trin, du skal tage:

  1. Find ud af om I bruger Oracle Identity Manager: Spørg din IT-ansvarlige eller IT-leverandør, om jeres systemer inkluderer Oracle Identity Manager version 12.2.1.4.0 eller 14.1.2.1.0.
  2. Begræns netværksadgang straks: Sørg for, at portene til T3 og IIOP (typisk port 7001 og 7002) ikke er tilgængelige fra internettet eller fra netværkssegmenter, de ikke behøver at nå. Din IT-ansvarlige kan hjælpe med dette.
  3. Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som en del af deres Critical Patch Update. Få din IT-leverandør til at installere den hurtigst muligt.
  4. Gennemgå adgangslogfiler: Bed din IT-ansvarlige om at tjekke logfiler for mistænkelig aktivitet op til og efter opdateringen, så I kan opdage eventuelle angreb der allerede kan have fundet sted.
  5. Kontakt Auroa: Er du usikker på noget af ovenstående, så kontakt os – vi hjælper dig med at vurdere risikoen og gennemføre de nødvendige tiltag.
Tidsfrist

Patch inden for 24-72 timer

Sådan ser Auroa det

Auroa anbefaler, at du behandler denne sårbarhed som en akut hændelse. Oracle Identity Manager er hjertet i adgangsstyringen, og en kompromittering kan give angribere nøglerne til hele din IT-infrastruktur. Installer Oracles patch øjeblikkeligt, og blokér i mellemtiden ekstern adgang til de relevante netværksporte. Har du ikke interne ressourcer til at håndtere dette, så kontakt os – vi kan hjælpe med både vurdering, patch-implementering og efterfølgende gennemgang.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle og NVD
Oracle udgav CVE-2026-46807 som en del af deres Critical Patch Update. Sårbarheden fik den kritiske score 9.8 og berører Oracle Identity Manager version 12.2.1.4.0 og 14.1.2.1.0.
17/06/2026
Patch tilgængelig fra Oracle
Oracle udgav samtidig med offentliggørelsen en sikkerhedsopdatering via deres Critical Patch Update-program. Opdateringen skal installeres manuelt af IT-ansvarlige.
18/06/2026
Sikkerhedsforskere analyserer sårbarheden
Efter offentliggørelsen begyndte sikkerhedsforskere at analysere de tekniske detaljer. Oracle-sårbarheder med score 9.8 tiltrækker typisk hurtig opmærksomhed fra både forskere og angribere.
20/06/2026
Forventet øget udnyttelsesrisiko
Erfaringen viser, at kritiske Oracle-sårbarheder med høj CVSS-score historisk set udnyttes aktivt inden for få dage til uger efter offentliggørelsen. Virksomheder der ikke har patchet er i høj risiko.

Konkrete eksempler

Angriber overtager adgangsstyring udefra

En angriber scanner internettet efter Oracle-servere med åbne T3-porte og finder en virksomheds Oracle Identity Manager. Ved at sende en særligt udformet pakke via T3-protokollen uden brugernavn eller adgangskode opnår angriberen fuld kontrol over systemet. Angriberen opretter derefter en skjult administratorkonto og får adgang til alle de systemer, som Identity Manager styrer – herunder HR-systemer og interne applikationer.

Intern angriber eskalerer rettigheder

En medarbejder med begrænset IT-adgang – eller en angriber der allerede har fået fodfæste via et phishing-angreb – befinder sig på virksomhedens interne netværk. Via IIOP-protokollen sender vedkommende en skadelig kommando til Oracle Identity Manager og eskalerer sine rettigheder til fuld administrator. Herefter kan vedkommende tildele sig selv adgang til alle virksomhedens systemer uden at efterlade spor i de normale adgangslogfiler.

Ransomware-angreb via Identity Manager

En ransomware-gruppe udnytter sårbarheden til at overtage Oracle Identity Manager og mapper derefter alle de systemer, platformen har adgang til. Gruppen bruger de stjålne adgangsrettigheder til at sprede ransomware til virksomhedens filservere og backupsystemer. Fordi angrebet starter i adgangsstyringssystemet, kan angriberne systematisk låse alle medarbejdere ude, inden krypteringen begynder.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: OIM Legacy UI). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via T3, IIOP to compromise Identity Manager. Successful attacks of this vulnerability can result in takeover of Identity Manager. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46807
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.