CVE-2026-46963: Kritisk fejl i Oracle E-Business Suite
Kritisk fejl i Oracle E-Business Suite giver angribere fuld kontrol over arbejdskøsystemet via internettet.
Hvad er det?
CVE-2026-46963 er en kritisk sikkerhedsfejl i Oracle Universal Work Queue, som er en del af Oracle E-Business Suite (et udbredt ERP-system til virksomhedsstyring). Fejlen sidder i komponenten Work Provider Site Level Administration og rammer versionerne 12.2.3 til 12.2.15.
En angriber med blot en almindelig brugerkonto kan udnytte fejlen via internettet uden yderligere hjælp fra andre brugere. Det betyder, at en medarbejder med lavt adgangsniveau — eller en angriber der har stjålet sådanne loginoplysninger — kan overtage hele systemet og potentielt brede angrebet ud til andre systemer i virksomheden.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3 til og med 12.2.15 med modulet Oracle Universal Work Queue aktiveret. Det drejer sig typisk om mellemstore og større virksomheder, der benytter Oracle til at styre forretningsprocesser som ordrehåndtering, HR eller finans. Hvis dit system er tilgængeligt via internettet (HTTP), er risikoen særlig høj.
Hvad kan ske?
En vellykket udnyttelse af denne fejl kan give angriberen fuld kontrol over Oracle Universal Work Queue — herunder adgang til at læse, ændre og slette data (fortrolighed, integritet og tilgængelighed påvirkes alle maksimalt). Fordi angrebet kan sprede sig til andre systemer (scope change), risikerer du, at hele din Oracle-installation kompromitteres. Det kan føre til:
- Tyveri af følsomme forretnings- og persondata
- Manipulation af ordrer, fakturaer eller løn
- Nedbrud af forretningskritiske systemer
- Videre angreb på andre interne systemer via det kompromitterede Oracle-miljø
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 9.9 ud af 10 — Kritisk. Det er næsten den højest mulige score. Tre faktorer gør den særligt farlig:
- Lav adgangsbarriere: Angriberen behøver kun en normal brugerkonto og netværksadgang via HTTP.
- Ingen brugerinteraktion kræves: Angrebet kan ske helt automatisk, uden at nogen klikker på noget.
- Scope change: Angrebet kan brede sig ud over det direkte ramte system til andre dele af din infrastruktur.
Hvad gør jeg nu?
Handl hurtigt. Oracle har udsendt en patch som del af deres Critical Patch Update-program. Følg disse trin:
- Tjek din version: Find ud af, om I bruger Oracle E-Business Suite version 12.2.3–12.2.15 med Oracle Universal Work Queue.
- Installer Oracles sikkerhedsopdatering: Hent og installer den relevante patch fra Oracles Critical Patch Update (CPU). Kontakt din Oracle-leverandør eller IT-partner for hjælp.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så begræns adgangen til Oracle-systemet fra internettet, indtil opdateringen er installeret.
- Gennemgå brugerkonti: Tjek, om der er konti med unødvendigt høje rettigheder, og deaktiver konti der ikke bruges.
- Overvåg systemlogs: Hold øje med usædvanlig aktivitet i Oracle-systemet og på netværket.
Patch inden for 24-72 timer
Med en CVSS-score på 9.9 bør denne sårbarhed behandles som en akut hændelse. Vi anbefaler, at du kontakter din IT-partner eller Oracle-leverandør i dag og får planlagt patch-installationen hurtigst muligt. Hvis I ikke kan nå at patche inden for de næste 24-72 timer, bør I som minimum isolere Oracle-systemet fra offentlig internetadgang, indtil opdateringen er på plads. Vent ikke på næste planlagte vedligeholdelsesvindue.
Tidslinje
Konkrete eksempler
Intern medarbejder med begrænset adgang overtager systemet
En medarbejder i kundeservice har en normal Oracle-brugerkonto med begrænsede rettigheder. Ved at sende en særligt udformet HTTP-forespørgsel til Work Provider Site Level Administration-komponenten udnytter medarbejderen fejlen og eskalerer sine egne rettigheder til administrator-niveau. Derefter kan medarbejderen tilgå og eksportere alle virksomhedens kundedata og ordrehistorik.
Angriber med stjålne loginoplysninger fra phishing
En ekstern angriber sender en phishing-mail til en medarbejder og stjæler dennes Oracle-loginoplysninger. Med disse simple brugeroplysninger logger angriberen ind på Oracle E-Business Suite via internettet og udnytter CVE-2026-46963 til at overtage hele Oracle-miljøet. Angriberen installerer herefter bagdøre og begynder at kryptere data som optakt til et ransomware-angreb.
Automatiseret angreb scanner og kompromitterer eksponerede systemer
En automatiseret angrebsbot scanner internettet for Oracle E-Business Suite-installationer og identificerer virksomheder med sårbare versioner. Uden menneskelig indblanding udnytter botten CVE-2026-46963, opretter en ny administratorkonto og kopierer hele databasen til en ekstern server — alt sammen inden virksomheden opdager indtrænget. Angrebet kan ramme mange virksomheder samtidigt på meget kort tid.
Ofte stillede spørgsmål
Skal vi bruge Oracle E-Business Suite for at være i fare?
Ja. Sårbarheden er specifikt i Oracle E-Business Suite med modulet Oracle Universal Work Queue. Bruger I ikke dette produkt, er I ikke berørt af netop denne CVE. Er I i tvivl om, hvilke Oracle-produkter I har installeret, bør I spørge jeres IT-ansvarlige eller leverandør.
Kan en angriber udnytte dette uden at kende vores adgangskoder?
Angriberen kræver en brugerkonto med lavt adgangsniveau — fx en helt almindelig medarbejderkonto. Det behøver ikke være en administratorkonto. Har en angriber stjålet blot ét sæt loginoplysninger (fx via phishing), er det nok til at udnytte fejlen.
Hvad betyder det, at angrebet kan sprede sig til andre systemer?
Det kaldes en scope change i sikkerhedsterminologi. Det betyder, at selvom fejlen teknisk er i Oracle Universal Work Queue, kan en angriber bruge den som springbræt til at angribe andre systemer, der er forbundet til Oracle-miljøet — fx databaser, filservere eller andre forretningssystemer.
Hvor finder vi Oracles sikkerhedsopdatering?
Oracle udgiver løbende sikkerhedsopdateringer via deres Critical Patch Update-program (CPU). Du eller din IT-partner kan finde den relevante patch på Oracles supportportal (support.oracle.com) under CPU-meddelelsen for juni 2026. Har I en Oracle-supportaftale, kan I også kontakte Oracle Support direkte.
Hvad gør vi, hvis vi ikke kan patche med det samme?
Som midlertidig løsning bør I begrænse adgangen til Oracle-systemet, så det ikke er tilgængeligt direkte fra internettet. I kan fx sætte en firewall-regel op, der kun tillader adgang fra kendte IP-adresser, eller kræve VPN-forbindelse for at tilgå systemet. Dette er ikke en permanent løsning, men reducerer risikoen, mens I forbereder patchen.
Er der tegn på, at nogen allerede har udnyttet denne fejl?
På nuværende tidspunkt er der ikke bekræftede rapporter om udbredte angreb i naturen, men sårbarhedens lave kompleksitet og høje score gør det sandsynligt, at angribere vil forsøge at udnytte den hurtigt. Det er derfor vigtigt at handle proaktivt frem for at vente på, at noget går galt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Universal Work Queue product of Oracle E-Business Suite (component: Work Provider Site Level Administration). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Universal Work Queue. While the vulnerability is in Oracle Universal Work Queue, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Universal Work Queue. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
