CVE-2026-46845: Kritisk fejl i Oracle WebCenter Portal
Kritisk sårbarhed i Oracle WebCenter Portal giver angribere fuld adgang uden login – opdater straks.
Hvad er det?
Oracle WebCenter Portal er en webbaseret platform til virksomhedsportaler og intranet, udviklet af Oracle. En sårbarhed er blevet opdaget i platformens sikkerhedsramme (Security Framework), som håndterer adgangskontrol og brugerrettigheder.
Fejlen betyder, at en angriber udefra kan kompromittere systemet fuldstændigt – uden at have et brugernavn, et kodeord eller andre forudgående rettigheder. Angrebet sker via den normale HTTPS-forbindelse, som portalen bruger til daglig kommunikation, og kræver ingen handling fra dine medarbejdere.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Portal i følgende versioner:
- Version 12.2.1.4.0
- Version 14.1.2.0.0
WebCenter Portal bruges typisk i mellemstore og større virksomheder som intranet, kundeportaler eller samarbejdsplatforme – ofte i industri, finans, offentlig sektor og handel. Hvis din virksomhed bruger Oracle Fusion Middleware-produkter, bør du undersøge, om I har WebCenter Portal installeret.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan de overtage hele Oracle WebCenter Portal-installationen. Det betyder i praksis:
- Datatyveri: Angriberen kan læse og kopiere alle data i portalen, herunder brugeroplysninger, dokumenter og forretningskritisk information.
- Datamanipulation: Indhold og data kan ændres eller slettes uden spor.
- Driftsnedbrud: Portalen kan lægges ned eller gøres utilgængelig for dine medarbejdere og kunder.
- Videre angreb: Adgang til portalen kan bruges som springbræt til andre systemer i din IT-infrastruktur.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.8 ud af 10, hvilket klassificeres som kritisk. Det er den højeste risikoklasse.
Følgende faktorer gør den særligt alvorlig:
- Ingen login krævet: Angrebet kan udføres af enhver med internetadgang – uden konto eller kodeord.
- Lav teknisk kompleksitet: Det kræver ingen specialviden at udnytte fejlen.
- Fuld systemovertagelse: Angriberen opnår komplet kontrol over fortrolighed, integritet og tilgængelighed af systemet.
- Angreb via internettet: Portalen behøver blot at være tilgængelig via netværket for at være i fare.
Hvad gør jeg nu?
Handl hurtigt. Jo længere du venter, jo større er risikoen. Her er hvad du skal gøre:
- Kortlæg din eksponering: Spørg din IT-ansvarlige eller leverandør, om I bruger Oracle WebCenter Portal, og hvilken version I kører.
- Begræns adgangen midlertidigt: Hvis portalen er tilgængelig fra internettet, og du ikke kan patche med det samme, så overvej at begrænse adgangen via firewall (netværksfilter), så kun nødvendige brugere kan nå systemet.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (sikkerhedsopdatering) som del af deres Critical Patch Update. Installer den hurtigst muligt på alle berørte systemer.
- Gennemgå adgangslogge: Bed din IT-afdeling tjekke systemlogge for usædvanlig aktivitet, der kan indikere, at nogen allerede har forsøgt at udnytte fejlen.
- Informér relevante parter: Hvis portalen indeholder persondata, skal du vurdere, om der er sket et databrud, der kræver anmeldelse til Datatilsynet inden for 72 timer.
Patch straks – inden for 24-48 timer
Med en CVSS-score på 9.8 og mulighed for fuldstændig systemovertagelse uden forudgående adgang anbefaler vi, at du behandler denne sårbarhed som akut. Installer Oracles patch øjeblikkeligt, og begræns i mellemtiden netværksadgangen til portalen som en midlertidig sikkerhedsforanstaltning. Har du ikke interne ressourcer til at håndtere dette, så kontakt din IT-leverandør eller en cybersikkerhedskonsulent i dag.
Tidslinje
Konkrete eksempler
Direkte overtagelse via internettet
En angriber identificerer via en søgemaskine som Shodan (et værktøj til at finde internet-tilsluttede systemer) at en virksomheds Oracle WebCenter Portal er tilgængelig online. Angriberen sender en særligt udformet HTTPS-forespørgsel til portalen, der udnytter fejlen i sikkerhedsrammen. Inden for minutter har angriberen fuld administrativ adgang og kan læse, ændre eller slette alle data i portalen – helt uden brugernavn eller kodeord.
Datatyveri af kundeoplysninger
En virksomhed bruger Oracle WebCenter Portal som kundeportal, hvor kunder logger ind og tilgår fakturaer, kontrakter og personlige oplysninger. En angriber udnytter sårbarheden til at tilgå databasen bag portalen og eksporterer alle kundedata. Virksomheden opdager det ikke med det samme, og det går yderligere dage, inden de er klar over, at de har en GDPR-pligtig anmeldelse til Datatilsynet.
Angreb som springbræt ind i virksomhedens netværk
En angriber kompromitterer Oracle WebCenter Portal og bruger den opnåede adgang til at udforske det interne netværk bag portalen. Her finder angriberen andre systemer – for eksempel et ERP-system (virksomhedsstyringssystem) eller en filserver – som ikke er tilgængelige udefra, men som portalen har forbindelse til. Angriberen installerer et bagdørsprogram og opnår vedvarende adgang til virksomhedens infrastruktur, selv efter portalen er patchet.
Ofte stillede spørgsmål
Hvordan ved jeg, om vi bruger Oracle WebCenter Portal?
Spørg din IT-ansvarlige eller den leverandør, der driver jeres IT-infrastruktur. WebCenter Portal er ofte en del af en større Oracle Fusion Middleware-installation og bruges typisk som intranet eller virksomhedsportal. Du kan også søge i jeres systemdokumentation eller licensoversigt efter ‘WebCenter Portal’.
Er vi i fare, selvom vores portal kun er tilgængelig internt?
Risikoen er størst, hvis portalen er tilgængelig fra internettet. Men selv en intern portal kan udgøre en risiko, hvis en angriber allerede har fået fodfæste i jeres netværk – for eksempel via phishing eller en kompromitteret medarbejdercomputer. Du bør derfor stadig installere patchen, uanset om portalen er intern eller ekstern.
Hvad er en 'patch', og hvem installerer den?
En patch er en softwareopdatering, der lukker en sikkerhedshul. Oracle har udgivet en sådan opdatering som del af deres planlagte Critical Patch Update (CPU). Det er din IT-afdeling eller den leverandør, der drifter jeres Oracle-miljø, som skal installere den. Det er ikke noget du selv kan gøre som almindelig bruger.
Hvad gør vi, hvis vi ikke kan patche med det samme?
Som midlertidig løsning kan du bede din IT-ansvarlige om at begrænse, hvem der kan tilgå portalen via firewall-regler – så kun nødvendige IP-adresser har adgang. Du kan også overveje at tage portalen midlertidigt offline, hvis den ikke er forretningskritisk i øjeblikket. Dette er dog kun nødhjælp og erstatter ikke en reel opdatering.
Skal vi anmelde det til Datatilsynet?
Kun hvis I har konstateret eller har begrundet mistanke om, at data faktisk er blevet kompromitteret. Databruddet skal i så fald anmeldes til Datatilsynet inden for 72 timer, jf. GDPR. Hvis I blot er sårbare, men ikke er blevet angrebet, er der ikke pligt til anmeldelse – men I bør dokumentere jeres håndtering af situationen.
Kan angriberen bruge adgangen til at angribe andre af vores systemer?
Ja, det er en reel risiko. Når en angriber overtager et system, bruger de det ofte som udgangspunkt for at bevæge sig videre ind i virksomhedens øvrige netværk – det kaldes ‘lateral movement’. Det er derfor vigtigt ikke blot at patche WebCenter Portal, men også at gennemgå logge og sikre, at andre systemer ikke er blevet påvirket.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Security Framework). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTPS to compromise Oracle WebCenter Portal. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
