CVE-2026-46846: Kritisk sårbarhed i Oracle WebCenter Portal
Kritisk sårbarhed i Oracle WebCenter Portal giver angribere fuld kontrol uden login — patch straks.
Hvad er det?
Oracle WebCenter Portal er en webplatform fra Oracle, som mange virksomheder bruger til intranet, samarbejdsportaler og kundevendte websteder. CVE-2026-46846 er en kritisk sårbarhed i portalens sikkerhedsramme (Security Framework), der gør det muligt for en angriber at overtage systemet fuldstændigt — uden at have et brugernavn eller adgangskode. Angrebet sker over det normale HTTP-protokol (den standard kommunikation browsere bruger), og det kræver ingen særlig teknisk forberedelse. Sårbarhedens CVSS-score er 10,0 ud af 10, hvilket er den højest mulige alvorlighedsgrad. De berørte versioner er 12.2.1.4.0 og 14.1.2.0.0.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Portal i version 12.2.1.4.0 eller 14.1.2.0.0 — typisk som en del af Oracle Fusion Middleware-platformen. Det kan være virksomheder med intranetportaler, HR-selvbetjeningsløsninger, dokumentdelingsplatforme eller kundeportaler bygget på denne teknologi. Hvis din portal er tilgængelig fra internettet, er risikoen særligt høj. Selv interne installationer er i fare, hvis en angriber allerede har fodfæste i dit netværk.
Hvad kan ske?
En vellykket udnyttelse giver angriberen fuld kontrol over Oracle WebCenter Portal-installationen. Det betyder i praksis:
- Datatyveri: Alle data i portalen — herunder brugeroplysninger, dokumenter og forretningskritisk information — kan læses og kopieres.
- Datamanipulation: Angriberen kan ændre eller slette indhold og konfigurationer i portalen.
- Nedetid: Portalen kan lukkes ned eller gøres utilgængelig.
- Spredning i netværket: Fordi angrebet kan påvirke andre systemer (såkaldt scope change), kan en kompromitteret portal bruges som springbræt til at angribe andre systemer i din infrastruktur.
Hvor alvorligt er det?
Dette er en maksimal alvorlighedssårbarhed med en CVSS-score på 10,0. Angrebsvektoren er netværk, kompleksiteten er lav, og det kræver hverken login eller brugerinteraktion. Alle tre sikkerhedsdimensioner — fortrolighed, integritet og tilgængelighed — er fuldt kompromitterede. Dertil kommer, at angrebet kan brede sig til andre produkter (scope change), hvilket gør det endnu mere farligt. I praksis betyder det, at enhver angriber med adgang til dit netværk eller internettet potentielt kan overtage din portal med minimal indsats.
Hvad gør jeg nu?
Du bør handle med det samme. Her er de vigtigste skridt:
- Find ud af, om du er ramt: Kontakt din it-leverandør eller interne it-ansvarlige og find ud af, om I bruger Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver regelmæssigt Critical Patch Updates (CPU). Tjek Oracles officielle sikkerhedsadvisory for CVE-2026-46846 og installer den relevante patch hurtigst muligt.
- Begræns adgangen midlertidigt: Hvis portalen er eksponeret på internettet og patchen ikke kan installeres med det samme, bør du overveje at begrænse adgangen til kendte IP-adresser via en firewall, indtil opdateringen er på plads.
- Gennemgå logfiler: Bed din it-ansvarlige om at gennemgå adgangslogfiler for tegn på mistænkelig aktivitet, særligt uautoriserede HTTP-forespørgsler til portalen.
- Informér relevante parter: Hvis I behandler persondata via portalen, bør I vurdere, om der er sket et databrud, der kræver indberetning til Datatilsynet inden for 72 timer.
Patch nu — kritisk risiko
Vi anbefaler, at du behandler denne sårbarhed som en akut sikkerhedshændelse og sikrer, at Oracles seneste sikkerhedsopdatering installeres inden for 24-48 timer. Hvis din portal er tilgængelig fra internettet, bør du straks begrænse adgangen, mens opdateringen forberedes. Har du ikke interne ressourcer til at håndtere dette, er du velkommen til at kontakte os — vi hjælper dig igennem processen hurtigt og sikkert.
Tidslinje
Konkrete eksempler
Direkte overtagelse via HTTP
En angriber sender en særligt udformet HTTP-forespørgsel direkte til din Oracle WebCenter Portal fra internettet — uden at have et brugernavn eller adgangskode. Sikkerhedsrammen i portalen håndterer forespørgslen forkert og giver angriberen administrative rettigheder. Angriberen kan nu ændre portalens indhold, downloade alle dokumenter og brugerdata, eller installere bagdøre (skjulte adgange) til fremtidige angreb.
Springbræt til andre systemer
En angriber kompromitterer din WebCenter Portal og bruger den som udgangspunkt for at kortlægge resten af dit interne netværk. Fordi portalen typisk har forbindelser til databaser, katalogtjenester (som Active Directory) og andre forretningssystemer, kan angriberen bevæge sig videre og potentielt kompromittere langt mere kritiske systemer — alt imens den oprindelige indgang forbliver uopdaget.
Ransomware-forberedelse
En organiseret kriminel gruppe udnytter sårbarheden til at få fodfæste i dit netværk. I stedet for at handle med det samme overvåger de dit netværk i dage eller uger, kortlægger dine sikkerhedskopier og kritiske systemer. Herefter aktiverer de ransomware på tværs af hele din infrastruktur på et tidspunkt, der maksimerer skaden — for eksempel fredag aften inden en lang weekend.
Ofte stillede spørgsmål
Skal vi bruge Oracle WebCenter Portal for at være i fare?
Ja. Sårbarheden er specifikt i Oracle WebCenter Portal version 12.2.1.4.0 og 14.1.2.0.0. Bruger din virksomhed ikke dette produkt, er I ikke direkte berørt af denne specifikke sårbarhed. Er du i tvivl om, hvad din virksomhed kører, så spørg din it-leverandør.
Kan vi bare lukke portalen ned midlertidigt for at være sikre?
Det er en mulighed som en midlertidig foranstaltning, men det er ikke en permanent løsning. Hvis portalen er forretningskritisk, vil en nedlukning påvirke driften. Den rigtige løsning er at installere sikkerhedsopdateringen. Mens I venter, kan I begrænse adgangen via firewall-regler i stedet for en komplet nedlukning.
Hvad er en 'scope change', og hvorfor er det farligt?
Scope change betyder, at et vellykket angreb ikke kun rammer det angrebne system, men kan sprede sig til andre systemer i samme infrastruktur. I dette tilfælde betyder det, at en angriber, der kompromitterer din WebCenter Portal, potentielt kan bruge den som springbræt til at angribe andre servere, databaser eller systemer i dit netværk — selv dem der ikke har nogen direkte forbindelse til portalen.
Skal vi indberette dette til Datatilsynet?
Det afhænger af, om der faktisk er sket et databrud. Hvis du opdager, at nogen har udnyttet sårbarheden og fået adgang til persondata, skal du som udgangspunkt indberette det til Datatilsynet inden for 72 timer. Har du blot en sårbar portal uden tegn på brud, er der ikke krav om indberetning — men du bør stadig patche straks og dokumentere dine tiltag.
Hvor finder vi Oracles officielle sikkerhedsopdatering?
Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU)-program på support.oracle.com. Du skal bruge et aktivt Oracle-supportabonnement for at få adgang. Har din virksomhed ikke direkte adgang, bør du kontakte den it-leverandør eller partner, der administrerer jeres Oracle-licenser.
Er angribere allerede ved at udnytte denne sårbarhed aktivt?
På tidspunktet for offentliggørelsen af CVE’en er der indikationer på, at proof-of-concept (PoC) kode — det vil sige fungerende eksempelkode der demonstrerer angrebet — kan være tilgængelig. Det betyder, at angribere med kendskab til sårbarheden har de tekniske forudsætninger for at udnytte den. Vent ikke på bekræftede angreb, før du handler.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Security Framework). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
