CVE-2026-46933
Kritisk

CVE-2026-46933: Kritisk Oracle E-Business Suite sårbarhed

Kritisk sårbarhed i Oracle E-Business Suite giver angribere fuld kontrol over dit system via internettet.

CVSS Score
9.9
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 24-72 timer

Hvad er det?

CVE-2026-46933 er en kritisk sårbarhed i Oracle Applications Manager, som er en del af Oracle E-Business Suite – et udbredt ERP-system (forretningssystem til økonomi, indkøb, HR m.m.). Sårbarheden gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele systemet via internettet. Det kræver ingen avancerede tekniske færdigheder og ingen hjælp fra andre brugere. Berørte versioner er 12.2.3 til og med 12.2.15.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Oracle E-Business Suite version 12.2.3–12.2.15. Det er typisk mellemstore og større virksomheder, der anvender Oracle som deres centrale forretningssystem til bl.a. økonomi, indkøb, løn og logistik. Hvis jeres Oracle-system er tilgængeligt via internettet – eller fra et netværk hvor medarbejdere logger ind – er I i risikogruppen.

Hvad kan ske?

En angriber med adgang til en helt almindelig brugerkonto (f.eks. en stjålet medarbejder-login) kan udnytte sårbarheden til at overtage hele Oracle Applications Manager-installationen. Det betyder i praksis:

  • Fuld adgang til fortrolige data – kundeinformation, finansielle data, løn og kontrakter.
  • Ændring eller sletning af data – regnskaber, ordrer og systemkonfigurationer kan manipuleres.
  • Nedbrud af systemet – hele ERP-systemet kan lammes, hvilket stopper forretningsdriften.
  • Spredning til andre systemer – angrebet kan brede sig til andre it-systemer i virksomheden (scope change).

Hvor alvorligt er det?

Med en CVSS-score på 9.9 ud af 10 (Kritisk) er dette en af de alvorligste typer sårbarheder. Alle tre kerneområder inden for it-sikkerhed er maksimalt påvirket: fortrolighed, integritet og tilgængelighed. Angrebet kræver lav teknisk indsats, ingen særlige rettigheder ud over en normal brugerkonto, og kan udføres helt uden interaktion fra ofrets side. Derudover kan skaden sprede sig ud over selve Oracle-systemet til andre dele af virksomhedens it-infrastruktur.

Hvad gør jeg nu?

Handles der hurtigt, kan risikoen reduceres betydeligt. Gør følgende med det samme:

  1. Identificér jeres version: Tjek hvilken version af Oracle E-Business Suite I kører. Er den mellem 12.2.3 og 12.2.15, er I berørt.
  2. Installer Oracles sikkerhedsopdatering: Oracle udgiver Critical Patch Updates (CPU) kvartalsvis. Sørg for at installere den relevante patch så hurtigt som muligt.
  3. Begræns netværksadgang: Hvis muligt, begræns adgangen til Oracle Applications Manager, så den ikke er tilgængelig direkte fra internettet – brug f.eks. VPN.
  4. Gennemgå brugerkonti: Deaktivér unødvendige eller inaktive brugerkonti. En stjålet konto er angribernes indgangsvinkel.
  5. Overvåg systemlogfiler: Hold øje med usædvanlig aktivitet i systemet, særligt login fra uventede lokationer eller tidspunkter.
  6. Kontakt jeres it-leverandør eller Auroa: Har I ikke ressourcer til at håndtere dette selv, bør I straks kontakte en it-sikkerhedsekspert.
Tidsfrist

Patch inden for 24-72 timer

Sådan ser Auroa det

Oracles Critical Patch Update indeholder en rettelse til denne sårbarhed, og vi anbefaler kraftigt, at I installerer opdateringen hurtigst muligt – helst inden for de næste 24-72 timer. I mellemtiden bør adgangen til Oracle E-Business Suite begrænses til nødvendige brugere og helst via VPN. Med en CVSS-score på 9.9 og mulighed for fuld systemovertagelse er dette ikke en sårbarhed, der kan vente til næste planlagte vedligeholdelsesvindue. Kontakt os i Auroa, hvis I har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-46933 som en del af deres Critical Patch Update (CPU) i juni 2026. Sårbarheden tildeles den kritiske CVSS-score på 9.9.
17/06/2026
Patch tilgængelig fra Oracle
Oracle udgiver en sikkerhedsopdatering til de berørte versioner (12.2.3–12.2.15) som en del af den kvartalsvise Critical Patch Update. Opdateringen er tilgængelig via Oracle Support.
18/06/2026
Sikkerhedsforskere analyserer sårbarheden
Inden for 24 timer begynder sikkerhedsforskere verden over at analysere den offentliggjorte CVE og vurdere udnyttelsespotentialet. Proof-of-concept (PoC) materiale begynder at cirkulere i sikkerhedsmiljøet.
20/06/2026
Øget udnyttelsesrisiko
Erfaringer fra lignende kritiske Oracle-sårbarheder viser, at angribere typisk begynder aktive skanninger og udnyttelsesforsøg inden for få dage efter offentliggørelsen. Uoprettede systemer er i høj risiko.
17/09/2026
Næste Oracle CPU
Oracles næste planlagte Critical Patch Update forventes i september 2026. Systemer der endnu ikke er opdateret, vil have været eksponeret i tre måneder – en uacceptabel risiko givet sårbarhedens alvor.

Konkrete eksempler

Phishet medarbejderkonto brugt til systemovertagelse

En angriber sender en phishing-mail til en regnskabsmedarbejder i virksomheden og narrer dem til at afgive deres Oracle-login. Med denne almindelige brugerkonto logger angriberen ind i Oracle E-Business Suite via virksomhedens login-side og udnytter CVE-2026-46933 til at eskalere sine rettigheder til systemadministrator-niveau. Derfra eksporterer angriberen alle finansielle data og kundeoplysninger, og planter ransomware (afpresningssoftware) der krypterer systemet natten over.

Intern trussel fra misfornøjet medarbejder

En medarbejder der er ved at fratræde sin stilling har stadig en aktiv Oracle-brugerkonto. Medarbejderen udnytter CVE-2026-46933 til at få administratoradgang og sletter kritiske ordredata og ændrer bankkontonumre på leverandørers betalingsprofiler. Fordi angrebet sker med en legitim brugerkonto, opdager virksomheden ikke skaden før faktureringsprocessen kollapser dage senere.

Automatiseret angreb fra botnets

Cyberkriminelle programmerer automatiserede bots (programmer der scanner internettet) til at identificere virksomheder med eksponerede Oracle E-Business Suite-installationer. Når en sårbar installation findes, forsøger botten at logge ind med kendte standardpasswords eller tidligere lækkede brugernavne og passwords. Lykkes det, udnyttes CVE-2026-46933 automatisk til at overtage systemet, som herefter sælges som adgang på det mørke internet eller bruges til yderligere angreb mod virksomhedens netværk.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Applications Manager product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Applications Manager. While the vulnerability is in Oracle Applications Manager, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Applications Manager. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-46933
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.