CVE-2026-46964: Kritisk fejl i Oracle E-Business Suite
Kritisk fejl i Oracle E-Business Suite lader angribere overtage dit system via internettet med minimal adgang.
Hvad er det?
CVE-2026-46964 er en kritisk sikkerhedssårbarhed i Oracle Universal Work Queue, som er en del af Oracle E-Business Suite — et udbredt forretningssystem til økonomi, HR og drift. Fejlen findes i komponenten Work Provider Site Level Administration og rammer versionerne 12.2.3 til 12.2.15.
En angriber med blot en almindelig brugerkonto kan udnytte fejlen over internettet uden at kræve hjælp fra dig eller dine medarbejdere. Det betyder, at angrebet kan ske fuldautomatisk og stille, mens I arbejder som normalt.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle E-Business Suite version 12.2.3 til 12.2.15 — særligt dem, der har systemet tilgængeligt via netværket (f.eks. over internettet eller et virksomhedsnetværk). Det gælder typisk:
- Mellemstore og større virksomheder med Oracle EBS som kernesystem til økonomi, indkøb eller HR
- Virksomheder der bruger Oracle Universal Work Queue til opgavestyring og arbejdsfordeling
- Organisationer der endnu ikke har installeret Oracles seneste sikkerhedsopdateringer
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Fuld overtagelse af Oracle Universal Work Queue — angriberen kan læse, ændre og slette data i systemet
- Spredning til andre systemer (scope change) — fordi fejlen tillader angriberen at bevæge sig videre til andre dele af din IT-infrastruktur
- Datatyveri — fortrolige forretningsdata, kundeoplysninger og finansielle data kan blive stjålet
- Driftsafbrydelse — systemet kan blive gjort utilgængeligt, hvilket stopper forretningskritiske processer
- Ransomware-angreb — kriminelle kan bruge adgangen som springbræt til at kryptere data og kræve løsesum
Hvor alvorligt er det?
Med en CVSS-score på 9.9 ud af 10 (Kritisk) er dette en af de mest alvorlige typer sårbarheder. Vurderingen bygger på følgende faktorer:
- Netværksbaseret angreb: Angrebet kan udføres over internettet — ingen fysisk adgang kræves
- Lav kompleksitet: Angrebet er nemt at udføre og kræver ingen særlig teknisk ekspertise
- Kun lav brugeradgang kræves: En angriber med en almindelig brugerkonto er nok til at starte angrebet
- Ingen brugerinteraktion: Dine medarbejdere behøver ikke klikke på noget — angrebet sker automatisk
- Scope change: Angrebet kan sprede sig til andre systemer end det, der er direkte angrebet
Hvad gør jeg nu?
Du bør handle hurtigt. Her er de vigtigste trin:
- Find ud af om I bruger Oracle E-Business Suite: Spørg din IT-ansvarlige eller leverandør, om I kører Oracle EBS version 12.2.3–12.2.15 — og om Oracle Universal Work Queue er aktiveret.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Bed din IT-leverandør om at installere den hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, så overvej at begrænse adgangen til Oracle EBS til kun interne netværksbrugere, mens I venter.
- Gennemgå brugerkonti: Tjek hvem der har adgang til systemet og fjern konti, der ikke længere er i brug — det mindsker risikoen for misbrug.
- Kontakt din IT-leverandør eller sikkerhedskonsulent: Hvis du er i tvivl om noget af ovenstående, så tag fat i en professionel med det samme.
Opdater inden for 24-72 timer
Vi anbefaler, at du behandler denne sårbarhed som akut. En CVSS-score på 9.9 med mulighed for fuld systemovertagelse og spredning til andre systemer er ikke noget, du kan vente med. Kontakt din IT-leverandør eller -afdeling i dag og bekræft, at Oracles seneste Critical Patch Update er installeret. Har du ikke en fast IT-leverandør, kan Auroa hjælpe dig med at vurdere din eksponering og guide dig igennem opdateringsprocessen.
Tidslinje
Konkrete eksempler
Angriber med stjålet medarbejderkonto overtager systemet
En angriber har købt adgang til en stjålet medarbejderkonto på et kriminelt forum (darkweb). Med denne lavt-privilegerede konto logger angriberen ind i Oracle E-Business Suite over internettet og udnytter fejlen i Work Provider Site Level Administration til at eskalere sine rettigheder. På få minutter har angriberen fuld kontrol over systemet og kan tilgå alle finansielle data og medarbejderoplysninger.
Automatiseret angreb scanner og kompromitterer sårbare systemer
En kriminel gruppe udvikler et automatiseret scanningsværktøj, der søger internettet for Oracle EBS-installationer. Når et sårbart system identificeres, udnyttes CVE-2026-46964 automatisk, og gruppen opnår adgang uden menneskelig indgriben. Virksomheden opdager ikke angrebet i ugevis, mens angriberne stjæler data og installerer bagdøre (skjulte adgangsveje) til fremtidigt misbrug.
Springbræt til ransomware-angreb
En angriber udnytter sårbarheden for at få fodfæste i Oracle EBS-systemet og bruger derefter adgangen til at bevæge sig videre ind på virksomhedens interne netværk (scope change). Herfra installeres ransomware (afpresningssoftware), der krypterer kritiske filer på tværs af organisationen. Virksomheden modtager et krav om løsesum på flere hundrede tusinde kroner for at genskabe adgangen til sine egne data.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis vi bruger Oracle EBS men ikke Oracle Universal Work Queue specifikt?
Ja, du bør stadig handle. Oracle Universal Work Queue er en komponent i Oracle E-Business Suite, og selvom du ikke aktivt bruger den, kan den stadig være aktiveret og dermed sårbar. Bed din IT-leverandør om at bekræfte, om komponenten er slået til i jeres installation.
Hvad er en CVSS-score, og hvad betyder 9.9?
CVSS (Common Vulnerability Scoring System) er en international standard til at vurdere, hvor alvorlig en sikkerhedssårbarhed er. Skalaen går fra 0 til 10, hvor 10 er det værste. En score på 9.9 placerer denne sårbarhed i den absolutte top af kritiske fejl — kun meget sjældent ser man scorer så høje.
Hvad betyder det, at angrebet kan 'sprede sig til andre systemer' (scope change)?
Det betyder, at en angriber, der først har fået adgang til Oracle Universal Work Queue, potentielt kan bruge den adgang som springbræt til at angribe andre systemer på jeres netværk — f.eks. filservere, e-mail eller andre forretningssystemer. Det gør sårbarheden endnu farligere, fordi et enkelt angreb kan have store konsekvenser for hele IT-miljøet.
Har vi brug for at lukke systemet ned, mens vi venter på opdateringen?
Det afhænger af, hvordan systemet er opsat. Hvis Oracle EBS er tilgængeligt direkte fra internettet, bør I overveje at begrænse adgangen midlertidigt. Hvis systemet kun er tilgængeligt internt på virksomhedens netværk, er risikoen noget lavere — men opdateringen bør stadig installeres hurtigst muligt. Tal med din IT-leverandør om den bedste løsning for jer.
Hvordan ved vi, om vi allerede er blevet angrebet?
Tegn på et angreb kan være usædvanlig systemaktivitet, uventede fejlbeskeder, langsomme systemer eller ukendte brugerlogins. Bed din IT-leverandør om at gennemgå systemlogfiler (registreringer over systemaktivitet) for mistænkelig adfærd. Jo hurtigere I tjekker, jo bedre — da tidlig opdagelse begrænser skaderne markant.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Universal Work Queue product of Oracle E-Business Suite (component: Work Provider Site Level Administration). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Universal Work Queue. While the vulnerability is in Oracle Universal Work Queue, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Universal Work Queue. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
