CVE-2026-46937: Alvorlig fejl i Oracle iSetup
Kritisk fejl i Oracle iSetup giver angribere med almindelig brugeradgang fuld kontrol over systemet via internettet.
Hvad er det?
CVE-2026-46937 er en alvorlig sikkerhedsfejl i Oracle iSetup, som er en del af Oracle E-Business Suite — et udbredt ERP-system (forretningssystem til økonomi, indkøb og drift). Fejlen findes specifikt i komponenten General Ledger Update Transform og Reports, som håndterer regnskabsdata og rapporter.
Problemet er, at en angriber med blot en almindelig brugerkonto i systemet kan udnytte fejlen over internettet uden yderligere hjælp fra andre brugere. Det kan give angriberen fuld kontrol over Oracle iSetup-installationen. Berørte versioner er 12.2.3 til og med 12.2.15.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Oracle iSetup aktivt. Det gælder typisk:
- Mellemstore og større virksomheder med Oracle ERP-løsninger til økonomi og regnskab
- Virksomheder der har Oracle E-Business Suite tilgængeligt via netværk eller internet
- Organisationer hvor medarbejdere, underleverandører eller eksterne konsulenter har brugerkonti i systemet
Har du ikke Oracle E-Business Suite, er du ikke berørt af denne sårbarhed.
Hvad kan ske?
Hvis en angriber udnytter denne fejl, kan konsekvenserne være alvorlige:
- Fuld systemovertagelse: Angriberen kan overtage kontrollen over Oracle iSetup-installationen og handle på systemets vegne.
- Datalæk: Følsomme regnskabsdata, finansielle rapporter og virksomhedsoplysninger kan blive stjålet (høj fortrolighed).
- Datamanipulation: Angriberen kan ændre eller slette regnskabsdata og konfigurationer (høj integritetspåvirkning).
- Driftsforstyrrelse: Systemet kan gøres utilgængeligt, hvilket kan lamme regnskabs- og rapporteringsprocesser (høj tilgængelighedspåvirkning).
Det kræver kun en lav brugeradgang at starte angrebet — ikke administratorrettigheder.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.8 ud af 10, hvilket klassificeres som alvorlig (high). Det skyldes en kombination af faktorer der gør den særlig farlig:
- Lav angrebskompleksitet: Angrebet er let at udføre — ingen avancerede færdigheder kræves.
- Kun lav adgang nødvendig: En almindelig brugerkonto er nok til at starte angrebet.
- Ingen brugerinteraktion: Offeret behøver ikke klikke på noget eller åbne en fil.
- Fuld CIA-påvirkning: Alle tre sikkerhedsparametre — fortrolighed, integritet og tilgængelighed — er maksimalt påvirket.
Sårbarheden anses for let udnyttelig og bør behandles med høj prioritet.
Hvad gør jeg nu?
Hvis din virksomhed bruger Oracle E-Business Suite, bør du straks tage følgende skridt:
- Afklar om du er berørt: Tjek med din IT-ansvarlige eller Oracle-leverandør, om I bruger Oracle iSetup i version 12.2.3–12.2.15.
- Hent og installer Oracles patch: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU). Sørg for at installere den relevante opdatering hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis en patch ikke kan installeres straks, bør du overveje at begrænse adgangen til Oracle iSetup fra offentlige netværk, til opdateringen er på plads.
- Gennemgå brugerkonti: Undersøg hvem der har adgang til Oracle iSetup og fjern konti der ikke længere er i brug eller ikke har behov for adgang.
- Kontakt din Oracle-support eller IT-partner: Få professionel hjælp til at vurdere omfanget og sikre korrekt opdatering og konfiguration.
Opdater inden for 1-2 uger
Vi anbefaler, at du prioriterer denne opdatering højt og installerer Oracles officielle patch så hurtigt som muligt — helst inden for de næste 1-2 uger. Sårbarheden er let at udnytte og kræver kun en almindelig brugerkonto, hvilket betyder at truslen er reel selv fra interne brugere eller kompromitterede konti. Kontakt din IT-leverandør eller Oracles support for at planlægge en kontrolleret opdatering, og overvej at begrænse ekstern adgang til systemet i mellemtiden.
Tidslinje
Konkrete eksempler
Tidligere konsulent udnytter gammel brugerkonto
En tidligere ekstern revisor har fået oprettet en brugerkonto i Oracle iSetup under et projekt, men kontoen er aldrig blevet lukket. Angriberen — eller en person der har stjålet konsulentens loginoplysninger — logger ind via virksomhedens Oracle-webportal og udnytter fejlen til at eskalere sine rettigheder og overtage systemet. Herefter kan angriberen eksportere alle regnskabsrapporter og ændre finansielle posteringer.
Medarbejder med lav adgang kompromitterer hele iSetup
En medarbejder i en supportfunktion har adgang til Oracle iSetup med begrænsede rettigheder. Ved at sende en særligt udformet HTTP-forespørgsel til systemets General Ledger-komponent kan medarbejderen — eller en angriber der har overtaget medarbejderens konto via phishing — udnytte fejlen og opnå fuld administratorkontrol. Derfra kan angriberen deaktivere revisionslogning og ændre data uden at efterlade spor.
Automatiseret angreb via internet-eksponeret Oracle-installation
En virksomhed har Oracle E-Business Suite tilgængeligt via internettet for at give medarbejdere hjemmeadgang. En automatiseret scanner opdager installationen og tester kendte sårbarheder. Med en testbrugerkonto — som måske er standard eller oprettet til demonstrationsformål — udnytter angrebsværktøjet CVE-2026-46937 og overtager iSetup-installationen. Angrebet tager under et minut og kræver ingen menneskelig interaktion fra offeret.
Ofte stillede spørgsmål
Bruger vi Oracle E-Business Suite — hvordan ved jeg om vi er berørt?
Tjek hvilken version af Oracle E-Business Suite I anvender. Er det version 12.2.3 til 12.2.15, og har I Oracle iSetup-modulet aktivt, er I potentielt berørt. Din IT-ansvarlige eller Oracle-leverandør kan hjælpe med at bekræfte dette hurtigt.
Skal angriberen have adgang til vores interne netværk for at udnytte fejlen?
Nej — angrebet kan udføres over HTTP (internettet), så længe angriberen har en brugerkonto i systemet. Det kan f.eks. være en ekstern konsulent, en tidligere medarbejder eller en konto der er blevet kompromitteret. Det er præcis det der gør denne fejl særlig farlig.
Er der en patch tilgængelig, og hvornår bør vi installere den?
Ja, Oracle udgiver patches via deres kvartalsvise Critical Patch Update (CPU)-program. Du bør installere den relevante opdatering hurtigst muligt — vi anbefaler inden for 1-2 uger. Kontakt din Oracle-support for at identificere den præcise patch til jeres version.
Kan vi gøre noget med det samme, mens vi venter på at patche?
Ja. Du kan midlertidigt begrænse adgangen til Oracle iSetup, så den ikke er tilgængelig fra eksterne netværk eller internettet. Du kan også gennemgå og deaktivere brugerkonti, der ikke bruges aktivt. Dette reducerer risikoen, men er ikke en permanent løsning — en patch er nødvendig.
Hvad sker der hvis vi ikke opdaterer?
Lader I sårbarheden stå uløst, risikerer I at en angriber overtager jeres Oracle iSetup-system. Det kan medføre tyveri af regnskabsdata, manipulation af finansielle oplysninger og driftsnedbrud. Da angrebet er let at udføre, stiger risikoen jo længere tid der går uden opdatering.
Gælder dette kun Oracle iSetup, eller er andre dele af E-Business Suite også berørt?
Denne specifikke CVE vedrører kun Oracle iSetup-komponenten (General Ledger Update Transform og Reports) i Oracle E-Business Suite. Andre moduler i E-Business Suite kan have egne sårbarheder — tjek altid Oracles samlede Critical Patch Update for et komplet overblik over alle aktuelle sikkerhedsopdateringer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle iSetup product of Oracle E-Business Suite (component: General Ledger Update Transform, Reports). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle iSetup. Successful attacks of this vulnerability can result in takeover of Oracle iSetup. CVSS 3.1 Base Score 8.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
