CVE-2026-46889
Kritisk

CVE-2026-46889: Kritisk sårbarhed i Oracle Siebel CRM

Kritisk sårbarhed i Oracle Siebel CRM Marketing giver uautoriserede angribere fuld systemadgang via internettet.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 24-72 timer

Hvad er det?

CVE-2026-46889 er en kritisk sårbarhed i Oracle Siebel CRM’s Marketing-modul. Sårbarheden gør det muligt for en angriber at overtage systemet fuldstændigt uden at have et brugernavn eller adgangskode — blot ved at sende forespørgsler over internettet via HTTP (standardprotokollen for webkommunikation). Fejlen er let at udnytte, kræver ingen særlige tekniske forudsætninger og kræver ikke, at du som bruger klikker på noget. Alle versioner fra 17.0 til 26.5 er ramt.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Oracle Siebel CRM med Marketing-modulet aktiveret — typisk mellemstore og større virksomheder inden for salg, marketing og kundeservice. Hvis jeres Siebel-installation er tilgængelig fra internettet eller fra et netværk uden streng adgangskontrol, er I i særlig risiko. Både on-premise-installationer (systemer I selv drifter) og eksponerede cloud-løsninger kan være sårbare.

Hvad kan ske?

En vellykket udnyttelse af denne sårbarhed kan give angriberen fuld kontrol over jeres Siebel Marketing-system. Det betyder:

  • Fortrolighed (C=Høj): Angriberen kan læse alle data i systemet — herunder kundeoplysninger, kampagnedata og kontaktlister.
  • Integritet (I=Høj): Angriberen kan ændre eller slette data, manipulere marketingkampagner eller indsætte falske oplysninger.
  • Tilgængelighed (A=Høj): Angriberen kan lukke systemet ned, så jeres medarbejdere ikke kan bruge det.

I værste fald kan angrebet bruges som springbræt til at komme videre ind i resten af jeres it-infrastruktur.

Hvor alvorligt er det?

Oracle har tildelt sårbarheden en CVSS-score på 9,8 ud af 10 — kritisk. Det er næsten den højest mulige score. Kombinationen af, at angrebet kan udføres over nettet, ikke kræver login, ikke kræver brugerinteraktion og giver fuld kontrol over systemet, gør dette til en af de mest alvorlige typer sårbarheder. Der er ingen formildende faktorer i den tekniske vurdering.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — ideelt inden for 24-72 timer:

  1. Kortlæg eksponeringen: Find ud af om jeres Siebel Marketing-system er tilgængeligt fra internettet eller fra netværk uden adgangskontrol. Spørg jeres it-ansvarlige eller leverandør.
  2. Installer Oracles patch: Oracle har udsendt en sikkerhedsopdatering. Gå til Oracles Critical Patch Update (CPU) for juni 2026 og installer den relevante opdatering til Siebel CRM.
  3. Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så bloker for ekstern adgang til Siebel Marketing-modulet via jeres firewall (et netværkssikkerhedssystem), indtil opdateringen er installeret.
  4. Gennemgå logfiler: Bed jeres it-ansvarlige om at gennemgå systemlogfiler for usædvanlig aktivitet tilbage til mindst 30 dage — for at se om nogen allerede har forsøgt at udnytte fejlen.
  5. Underret relevante parter: Hvis I har mistanke om et brud, skal I følge jeres beredskabsplan og evt. underrette Datatilsynet inden for 72 timer, som GDPR kræver.
Tidsfrist

Patch inden for 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 9,8 og ingen krav om hverken login eller brugerinteraktion bør I behandle dette som en akut situation. Installer Oracles officielle patch fra CPU juni 2026 så hurtigt som muligt, og begræns i mellemtiden netværksadgangen til Siebel Marketing. Har I ikke interne ressourcer til at håndtere dette hurtigt, anbefaler vi at kontakte en ekstern it-sikkerhedspartner med det samme.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggjorde CVE-2026-46889 som del af deres Critical Patch Update (CPU) for juni 2026. Sårbarheden tildeles CVSS-score 9,8 — kritisk.
17/06/2026
Patch tilgængelig
Oracle udgav samtidig med offentliggørelsen en officiel sikkerhedsopdatering til Siebel CRM versioner 17.0-26.5 via deres supportportal.
18/06/2026
Proof-of-concept forventes
Erfaringsmæssigt offentliggøres tekniske proof-of-concept-eksempler (demonstrationer af udnyttelse) på sikkerhedsfora inden for 24-72 timer efter Oracles CPU-udgivelser, hvilket øger risikoen markant.
20/06/2026
Aktiv udnyttelse mulig
Baseret på sårbarhedens lave kompleksitet og høje score er der en betydelig risiko for aktive angrebsforsøg inden for den første uge efter offentliggørelsen. Systemer uden patch er i høj risiko.

Konkrete eksempler

Direkte systemovertagelse via HTTP

En angriber scanner internettet for Siebel Marketing-installationer, der er eksponeret via en offentlig IP-adresse. Uden brug af brugernavn eller adgangskode sender angriberen en særligt udformet HTTP-forespørgsel til Marketing-modulet. Sårbarheden giver angriberen fuld administratoradgang til systemet, hvorfra de kan eksportere hele kundebasen og kampagnehistorik.

Ransomware-angreb via kompromitteret Siebel

En angriber udnytter sårbarheden til at få fodfæste i virksomhedens netværk via Siebel-serveren. Derfra bevæger angriberen sig sideværts (lateral movement) til andre servere og installerer ransomware (software der krypterer data mod løsepenge). Virksomheden mister adgang til både CRM-data og andre forretningskritiske systemer.

Manipulation af marketingkampagner

En konkurrent eller ondsindet aktør udnytter adgangen til at ændre indholdet i planlagte e-mailkampagner i Siebel Marketing — eksempelvis ved at indsætte phishing-links (falske links designet til at narre modtagere) i nyhedsbreve, der sendes ud til tusindvis af kunder. Virksomheden opdager det først, når kunder begynder at klage, og omdømmeskaden er allerede sket.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Siebel Apps – Marketing product of Oracle Siebel CRM (component: Marketing). Supported versions that are affected are 17.0-26.5. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Siebel Apps – Marketing. Successful attacks of this vulnerability can result in takeover of Siebel Apps – Marketing. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46889
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.