CVE-2026-46938
Alvorlig

CVE-2026-46938: Sårbarhed i Oracle E-Business Suite

Kritisk sårbarhed i Oracle E-Business Suite giver angribere fuld kontrol over dit omkostningsstyringssystem via internettet.

CVSS Score
7.2
Offentliggjort
17/06/2026
Patch-status
available
Exploit
none_known
Tidsfrist
Patch inden for 7 dage

Hvad er det?

CVE-2026-46938 er en sårbarhed i modulet Cost Management (omkostningsstyring) i Oracle E-Business Suite — et udbredt ERP-system (virksomhedssoftware til økonomi, indkøb og produktion). Sårbarheden gør det muligt for en angriber, der allerede har adgang til en administratorkonto, at overtage hele Cost Management-modulet via en normal internetforbindelse. Oracle har selv vurderet den til at have alvorlighedsgrad 7.2 ud af 10. Berørte versioner er 12.2.3 til og med 12.2.15.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Cost Management aktiveret. Det er typisk mellemstore og større produktions-, handels- eller servicevirksomheder, der bruger Oracle EBS til at styre indkøb, produktion og økonomi. Har du outsourcet dit ERP-system til en leverandør, bør du kontakte dem straks for at afklare, om I er berørt.

Hvad kan ske?

En angriber, der har fået fat i en administratorkonto (f.eks. via phishing eller et lækket kodeord), kan udnytte sårbarheden til at overtage Cost Management-modulet fuldstændigt. Det betyder, at angriberen kan:

  • Læse fortrolige omkostnings- og prisdata
  • Ændre eller slette finansielle data og produktionsplaner
  • Lamme systemet, så medarbejdere ikke kan arbejde
  • Bruge adgangen som springbræt til andre dele af dit ERP-system

Hvor alvorligt er det?

Oracle har tildelt sårbarheden en CVSS-score på 7.2 ud af 10, hvilket klassificeres som alvorlig. Angrebskompleksiteten er lav — det er nemt at udnytte, hvis man først har adgang til en administratorkonto. Konsekvenserne rammer alle tre grundpiller i cybersikkerhed: fortrolighed, integritet og tilgængelighed er alle vurderet til høj risiko. Det kræver dog høje rettigheder (administratoradgang) at udnytte den, hvilket reducerer risikoen en smule sammenlignet med sårbarheder, der kan udnyttes af alle.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt, helst inden for de næste 7 dage:

  1. Afklar om I er berørt: Tjek med din IT-ansvarlige eller Oracle-leverandør, hvilken version af Oracle E-Business Suite I kører, og om Cost Management-modulet er aktiveret.
  2. Installer Oracles patch: Oracle udsendte en patch som del af deres Critical Patch Update i juli 2026. Sørg for at denne er installeret på alle berørte systemer.
  3. Gennemgå administratorkonti: Skift kodeord på alle Oracle EBS-administratorkonti og fjern adgang for brugere, der ikke længere har brug for det.
  4. Aktiver logning og overvågning: Sørg for, at adgang til Cost Management-modulet logges, så I kan opdage mistænkelig aktivitet.
  5. Kontakt din leverandør: Bruger I en ekstern partner til drift af Oracle EBS, skal du sikre dig skriftlig bekræftelse på, at patchen er installeret.
Tidsfrist

Patch inden for 7 dage

Sådan ser Auroa det

Selvom sårbarheden kræver administratoradgang for at blive udnyttet, bør du ikke undervurdere risikoen — kompromitterede administratorkonti er en af de hyppigste indgange i virksomhedsangreb. Vi anbefaler, at du straks verificerer, om din version af Oracle EBS er berørt, og sørger for at Oracles seneste Critical Patch Update er installeret. Kombinér dette med en gennemgang af, hvem der har administratoradgang til systemet, og overvej at indføre multifaktorgodkendelse (MFA) på alle privilegerede konti.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-46938 blev registreret og offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 7.2 (alvorlig).
15/07/2026
Oracle Critical Patch Update udsendt
Oracle udgav deres kvartalsvise Critical Patch Update for juli 2026, som indeholder en rettelse til CVE-2026-46938 for Oracle E-Business Suite version 12.2.3–12.2.15.
15/07/2026
Patch tilgængelig
Berørte organisationer kan nu downloade og installere rettelsen via Oracles support-portal (My Oracle Support). Opdatering anbefales snarest muligt.

Konkrete eksempler

Phishet administratorkonto giver fuld adgang

En angriber sender en overbevisende phishing-mail til en af jeres Oracle EBS-administratorer. Administratoren klikker på et link og indtaster sine loginoplysninger på en falsk side. Angriberen bruger nu de stjålne oplysninger til at logge ind på jeres Oracle EBS via internettet og udnytter CVE-2026-46938 til at overtage Cost Management-modulet — uden at I opdager det med det samme.

Manipulation af kostpriser og finansielle data

Med fuld kontrol over Cost Management kan en angriber ændre kostpriser, produktionsomkostninger eller lagerværdier i systemet. Det kan føre til fejlagtige regnskaber, forkerte beslutningsgrundlag og i værste fald tab af troværdighed over for revisorer, banker eller investorer — uden at manipulationen opdages med det samme.

Ransomware-angreb via kompromitteret ERP-adgang

En angriber, der har overtaget en administratorkonto og udnyttet sårbarheden, kan bruge adgangen til at plante ransomware (afpresningssoftware) i virksomhedens ERP-system. Systemet krypteres og låses, og angriberen kræver løsepenge for at gendanne adgangen. Produktionen eller den daglige drift kan gå helt i stå, indtil situationen er løst.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Cost Management product of Oracle E-Business Suite (component: Cost Planning). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle Cost Management. Successful attacks of this vulnerability can result in takeover of Oracle Cost Management. CVSS 3.1 Base Score 7.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2026-46938
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
none_known
Patch-status
available
Tidsfrist
Patch inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.