CVE-2026-46949
Kritisk

CVE-2026-46949: Kritisk fejl i Oracle E-Business Suite

Kritisk fejl i Oracle E-Business Suite giver hackere fuld adgang til telefonisystem-data uden login.

CVSS Score
9.1
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch straks — inden for 24-72 timer

Hvad er det?

CVE-2026-46949 er en kritisk sikkerhedsfejl i Oracle Advanced Outbound Telephony, som er en del af Oracle E-Business Suite — et udbredt forretningssystem til bl.a. økonomi, salg og kundeservice. Fejlen ligger i en intern komponent (Internal Operations) og gør det muligt for en angriber at tilgå, oprette, ændre eller slette data i systemet — helt uden at have et brugernavn eller adgangskode. Angrebet sker over internettet via den normale HTTP-forbindelse, og det kræver ingen teknisk snilde at udnytte. Det er med andre ord lavthængende frugt for kriminelle.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der kører Oracle E-Business Suite version 12.2.3 til og med 12.2.15 med modulet Advanced Outbound Telephony aktiveret. Det er typisk mellemstore og større virksomheder inden for salg, callcenter-drift, finans og offentlig forvaltning, som bruger denne løsning til udgående telefonkampagner og kundeserviceprocesser. Har din virksomhed Oracle E-Business Suite installeret, bør du hurtigst muligt tjekke, hvilken version I kører.

Hvad kan ske?

En angriber, der udnytter fejlen, kan:

  • Læse alle data i Oracle Advanced Outbound Telephony — herunder kundelister, kontaktoplysninger og kampagnedata.
  • Ændre eller slette kritiske data, fx manipulere med opkaldslister eller kampagnekonfigurationer.
  • Oprette uautoriserede poster i systemet uden at efterlade spor fra et logget brugernavn.

Systemets tilgængelighed (drift) påvirkes ikke direkte af denne fejl, men tab af data-integritet og fortrolighed kan have alvorlige konsekvenser for forretningen og for GDPR-overholdelse (databeskyttelsesreglerne).

Hvor alvorligt er det?

Fejlen har fået den næsthøjeste mulige CVSS-score: 9.1 ud af 10 — Kritisk. Det skyldes en særlig farlig kombination af faktorer:

  • Angreb kan udføres over netværket — angriberen behøver ikke fysisk adgang.
  • Lav kompleksitet — det kræver ingen specialviden at udnytte fejlen.
  • Ingen login nødvendigt — helt uden autentificering (brugernavn/adgangskode).
  • Ingen brugerinteraktion — ingen medarbejder behøver klikke på noget.

Kort sagt: Er systemet eksponeret mod internettet, er det åbent for enhver.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt:

  1. Tjek jeres version: Find ud af, om I kører Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Advanced Outbound Telephony aktiveret.
  2. Anvend Oracles sikkerhedspatch: Oracle udgiver patches via deres Critical Patch Update (CPU)-program. Tjek Oracles support-portal (My Oracle Support) for den relevante patch til jeres version og installer den straks.
  3. Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så sørg for, at modulet ikke er tilgængeligt fra det åbne internet — fx ved at blokere adgang via jeres firewall til kun at tillade kendte IP-adresser.
  4. Gennemgå adgangslogge: Bed jeres IT-ansvarlige eller leverandør om at kigge i systemets logfiler for tegn på uautoriseret adgang tilbage i tid.
  5. Kontakt jeres Oracle-leverandør: Hvis I bruger Oracle E-Business Suite via en ekstern leverandør eller partner, skal de informeres og tage ansvar for opdateringen.
Tidsfrist

Patch straks — inden for 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 9.1 og ingen krav til hverken login eller teknisk snilde er dette en sårbarhed, du ikke kan tillade dig at vente med at håndtere. Installer Oracles patch øjeblikkeligt, og afskær i mellemtiden ekstern adgang til det berørte modul. Har I kundedata eller personoplysninger i systemet, skal I også vurdere, om I har en GDPR-indberetningspligt over for Datatilsynet inden for 72 timer, hvis I opdager tegn på uautoriseret adgang.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle
Oracle offentliggjorde CVE-2026-46949 som en del af deres Critical Patch Update (CPU) i juni 2026. Sårbarheden fik en CVSS-score på 9.1 (Kritisk).
17/06/2026
Patch tilgængelig fra Oracle
Samtidig med offentliggørelsen udgav Oracle en sikkerhedspatch til de berørte versioner (12.2.3–12.2.15) via My Oracle Support-portalen.
18/06/2026
Proof-of-concept-exploit forventet offentliggjort
Baseret på historisk mønster fra tidligere Oracle CPU-sårbarheder med høj CVSS-score og lav angrebskompleksitet kan tekniske detaljer og exploit-kode forventes at dukke op på offentlige platforme inden for 24-48 timer efter CPU-udgivelse.
20/06/2026
Øget scanningsaktivitet forventet
Automatiserede scannere og trusselsaktører begynder typisk at scanne internettet for sårbare Oracle E-Business Suite-installationer inden for få dage efter en kritisk CPU-udgivelse.

Konkrete eksempler

Datatyveri af kundelister

En angriber scanner internettet og finder en virksomheds Oracle E-Business Suite eksponeret på en standard HTTP-port. Via en simpel HTTP-forespørgsel til den sårbare Internal Operations-komponent henter angriberen alle kundedata og kontaktoplysninger fra Advanced Outbound Telephony — herunder navne, telefonnumre og e-mailadresser — uden nogensinde at have et brugernavn eller adgangskode. Dataene sælges efterfølgende på dark web eller bruges til målrettet phishing.

Sabotage af salgskampagne

En konkurrent eller en kriminel aktør udnytter fejlen til at slette eller manipulere opkaldslister og kampagnekonfigurationer i systemet. Virksomhedens salgsteam oplever pludselig, at data er forsvundet eller ændret, og en planlagt telefonkampagne går i stå. Skaden opdages måske først dage senere, og det er svært at bevise, hvad der skete, fordi angrebet ikke efterlader et brugernavn i loggen.

GDPR-brud med indberetningspligt

En mellemstor virksomhed med Oracle E-Business Suite opdager — via en alarm fra deres overvågningssystem — at store mængder personoplysninger er trukket ud af systemet natten over. Da Advanced Outbound Telephony indeholder kontaktoplysninger på tusindvis af kunder, er virksomheden nu forpligtet til at indberette bruddet til Datatilsynet inden for 72 timer og muligvis informere de berørte kunder. Processen er ressourcekrævende og skader virksomhedens omdømme.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Advanced Outbound Telephony product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Advanced Outbound Telephony. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Advanced Outbound Telephony accessible data as well as unauthorized access to critical data or complete access to all Oracle Advanced Outbound Telephony accessible data. CVSS 3.1 Base Score 9.1 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-46949
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch straks — inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.