CVE-2026-46813: Kritisk sårbarhed i Oracle WebCenter Content
Kritisk sårbarhed i Oracle WebCenter Content giver angribere fuld kontrol uden login – opdater straks.
Hvad er det?
Oracle WebCenter Content er et system til håndtering af dokumenter og digitalt indhold, som mange virksomheder bruger til at gemme, dele og administrere filer. En sårbarhed (sikkerhedshul) er opdaget i selve indholdserveren, der håndterer disse opgaver.
Hullet gør det muligt for en angriber at overtage systemet fuldstændigt – uden at have et brugernavn, et kodeord eller nogen form for adgang i forvejen. Angriberen skal blot have adgang til netværket og sende en HTTP-forespørgsel (en normal webforespørgsel) mod systemet. Det kræver ingen særlige tekniske færdigheder eller forberedelse.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Content i version 12.2.1.4.0 eller 14.1.2.0.0. Det gælder især:
- Virksomheder der bruger Oracle Fusion Middleware som del af deres it-infrastruktur
- Organisationer med Oracle WebCenter Content eksponeret mod internettet eller et fælles netværk
- Virksomheder der endnu ikke har installeret Oracles seneste sikkerhedsopdateringer
Hvis du er usikker på, om din virksomhed bruger produktet, så spørg din it-leverandør eller systemadministrator.
Hvad kan ske?
Hvis en angriber udnytter dette hul, kan konsekvenserne være alvorlige:
- Fuld overtagelse: Angriberen kan tage komplet kontrol over Oracle WebCenter Content-systemet
- Datatyveri: Alle dokumenter og filer i systemet kan læses og kopieres (brud på fortrolighed)
- Datamanipulation: Indhold kan ændres, slettes eller erstattes med falske oplysninger (brud på integritet)
- Systemstop: Systemet kan gøres utilgængeligt, så medarbejdere ikke kan arbejde (brud på tilgængelighed)
- Videre angreb: Systemet kan bruges som springbræt til at angribe andre systemer i jeres netværk
Hvor alvorligt er det?
Dette er en kritisk sårbarhed med en CVSS-score på 9.8 ud af 10 – det næsthøjeste man kan få. Det skyldes kombinationen af flere faktorer:
- Angreb kan udføres over internettet fra hele verden
- Det kræver ingen login eller særlige rettigheder
- Det kræver ingen handling fra brugerne i din virksomhed
- Angrebet er let at udføre – lav teknisk kompleksitet
- Konsekvensen er total systemovertagelse
Sager med denne profil bliver typisk hurtigt udnyttet af kriminelle, når informationen bliver offentlig.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret skal gøre:
- Kontakt din it-leverandør eller systemadministrator i dag og fortæl dem om CVE-2026-46813. Bed dem bekræfte, om I bruger Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0.
- Tjek om Oracle har udsendt en patch (sikkerhedsopdatering) via Oracles Critical Patch Update (CPU). Bed din it-ansvarlige om at installere den hurtigst muligt.
- Begræns adgangen midlertidigt – hvis systemet ikke skal være tilgængeligt fra internettet, så luk for ekstern adgang via firewall (en digital dør der kontrollerer netværkstrafik) indtil opdateringen er installeret.
- Gennemgå adgangslogge – bed din it-ansvarlige om at tjekke, om der allerede har været mistænkelige forbindelser til systemet.
- Informer ledelsen om risikoen, så der kan prioriteres ressourcer til at lukke hullet.
Handl inden for 24-72 timer
Med en CVSS-score på 9.8 og en angrebsprofil der kræver hverken login eller brugerinteraktion, anbefaler vi, at du behandler denne sårbarhed som en akut hændelse. Kontakt din it-leverandør i dag og få installeret Oracles sikkerhedsopdatering hurtigst muligt. Mens I venter på opdateringen, bør adgangen til Oracle WebCenter Content begrænses til kun de netværk og brugere, der absolut har brug for det. Hvis I ikke selv har ressourcerne til at håndtere dette, er I velkomne til at kontakte os for akut hjælp.
Tidslinje
Konkrete eksempler
Direkte overtagelse via HTTP
En angriber finder via et automatisk scanningsværktøj en virksomheds Oracle WebCenter Content-server, der er tilgængelig på internettet. Uden at kende brugernavn eller kodeord sender angriberen en særligt udformet HTTP-forespørgsel til serveren, som udnytter sikkerhedshullet. På under et minut har angriberen fuld administratoradgang til systemet og kan nu læse, ændre eller slette alle virksomhedens dokumenter.
Ransomware via kompromitteret indholdserver
En kriminel gruppe udnytter sårbarheden til at overtage Oracle WebCenter Content-serveren hos en mellemstor produktionsvirksomhed. Derfra bevæger de sig videre ind i virksomhedens interne netværk, installerer ransomware (software der låser filer og kræver løsepenge) og krypterer kritiske forretningsdokumenter. Virksomheden kan ikke tilgå sine egne data og modtager et krav om løsepenge.
Datatyveri og videresalg
En angriber udnytter hullet mod en virksomhed der opbevarer kontrakter, persondata og forretningshemmeligheder i Oracle WebCenter Content. Angriberen kopierer stille og roligt alle filer uden at efterlade synlige spor. Virksomheden opdager ikke angrebet, før data dukker op til salg på et kriminelt online-forum – eller en kunde fortæller, at deres data er lækket.
Ofte stillede spørgsmål
Hvordan ved jeg, om vi bruger det ramte produkt?
Spørg din it-ansvarlige eller it-leverandør, om I kører Oracle WebCenter Content som del af Oracle Fusion Middleware. De kan tjekke versionen i systemets administrationspanel. De ramte versioner er 12.2.1.4.0 og 14.1.2.0.0.
Skal vi have Oracle WebCenter Content eksponeret mod internettet for at være i fare?
Ikke nødvendigvis. Angribet kan udføres af enhver med netværksadgang via HTTP – det betyder, at selv interne netværk kan udgøre en risiko, hvis en angriber allerede er kommet ind via f.eks. phishing eller et kompromitteret medarbejder-netværk. Systemer der er direkte tilgængelige fra internettet er dog særligt udsatte.
Hvad er en 'patch', og hvornår kommer den?
En patch er en softwareopdatering, der lukker et sikkerhedshul. Oracle udsender løbende sådanne opdateringer via deres Critical Patch Update-program (CPU). Din it-leverandør kan hente og installere patchen fra Oracles supportportal. Kontakt dem i dag for at få det sat i gang.
Kan vi bare vente og se, hvad der sker?
Det fraråder vi kraftigt. Sårbarheder med denne type profil – ingen login krævet, lav kompleksitet, fuld systemovertagelse – bliver typisk aktivt udnyttet af kriminelle inden for få dage efter offentliggørelsen. Jo længere I venter, desto større er risikoen for et faktisk angreb.
Hvad gør vi, hvis vi mistænker, at vi allerede er blevet angrebet?
Kontakt straks jeres it-leverandør og bed dem gennemgå systemlogge for mistænkelig aktivitet. Overvej at isolere det berørte system fra resten af netværket, mens I undersøger sagen. Hvis I har mistanke om et databrud, kan I have pligt til at anmelde det til Datatilsynet inden for 72 timer.
Koster det noget at installere sikkerhedsopdateringen?
Selve sikkerhedsopdateringen fra Oracle er tilgængelig for kunder med en gyldig supportaftale uden ekstra licensomkostninger. Der kan dog være udgifter forbundet med it-arbejdet for at installere og teste opdateringen. Disse omkostninger er langt lavere end konsekvenserne af et succesfuldt angreb.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
