CVE-2026-46940: Alvorlig fejl i Oracle E-Business Suite
Kritisk fejl i Oracle E-Business Suite lader angribere overtage dit Cost Management-system via internettet.
Hvad er det?
CVE-2026-46940 er en alvorlig sikkerhedsfejl i Oracle E-Business Suite, nærmere bestemt i modulet Oracle Cost Management (Cost Planning). En angriber, der har en almindelig brugerkonto i systemet, kan udnytte fejlen over internettet via HTTP (den standard protokol, der bruges til webtrafik) — uden at kræve særlige rettigheder eller hjælp fra andre brugere. Fejlen giver angriberen mulighed for at overtage hele Cost Management-modulet. Berørte versioner er 12.2.3 til og med 12.2.15.
Hvem rammer det?
Du er i risikogruppen, hvis din virksomhed bruger Oracle E-Business Suite i version 12.2.3–12.2.15 med modulet Cost Management (Cost Planning) aktiveret. Det gælder typisk mellemstore og større virksomheder inden for produktion, handel og økonomi, som bruger Oracle EBS til at styre produktions- og vareomkostninger. Hvis systemet er tilgængeligt fra internettet eller intranet, er risikoen særligt høj.
Hvad kan ske?
En angriber med blot en almindelig brugerkonto kan:
- Overtage systemet fuldstændigt — herunder læse, ændre eller slette alle data i Cost Management.
- Manipulere omkostningsdata — fx ændre priser, kalkulationer eller produktionsomkostninger, hvilket kan føre til forkerte beslutninger og tab.
- Tilgå fortrolige forretningsdata — fx leverandørpriser, marginer og budgetter.
- Forstyrre driften — ved at gøre systemet utilgængeligt (nedbrud).
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 8.8 ud af 10, hvilket klassificeres som Alvorlig (High). Alle tre sikkerhedsparametre — fortrolighed, integritet og tilgængelighed — er vurderet som maksimalt påvirket. Fejlen er let at udnytte: den kræver ingen teknisk snilde, kun en brugerkonto og netværksadgang. Det betyder, at selv en medarbejder med begrænset adgang potentielt kan misbruge den — eller at en ekstern angriber, der har kompromitteret én konto, kan gøre stor skade.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Identificér om du er ramt: Tjek med din IT-ansvarlige eller Oracle-leverandør, hvilken version af Oracle E-Business Suite I kører, og om Cost Management / Cost Planning er aktiveret.
- Anvend Oracles sikkerhedspatch: Oracle udgiver løbende Critical Patch Updates (CPU). Sørg for at installere den relevante patch fra Oracles officielle CPU-udgivelse, der adresserer CVE-2026-46940.
- Begræns netværksadgang midlertidigt: Hvis patchen ikke kan installeres straks, så overvej at begrænse adgangen til Oracle EBS til kun nødvendige brugere og netværk via firewall-regler.
- Gennemgå brugerrettigheder: Kontrollér hvem der har adgang til Cost Management-modulet, og fjern adgang fra brugere, der ikke har brug for det.
- Overvåg systemet: Hold øje med usædvanlig aktivitet i Oracle EBS-logfiler, særligt i Cost Planning-komponenten.
Patch hurtigst muligt — inden for 7 dage
Vi anbefaler, at du prioriterer patching af Oracle E-Business Suite som en akut opgave. Kontakt din Oracle-leverandør eller interne IT-team i dag og få bekræftet, om I er sårbare. Mens patchen klargøres, bør adgangen til systemet begrænses til kun de mest nødvendige brugere. Sørg desuden for, at Oracle EBS ikke er direkte eksponeret mod internettet uden et ekstra lag af adgangskontrol.
Tidslinje
Konkrete eksempler
Intern medarbejder manipulerer omkostningsdata
En utilfreds medarbejder i økonomiafdelingen, som har en almindelig brugerkonto i Oracle EBS, udnytter fejlen til at eskalere sine rettigheder i Cost Management. Han ændrer produktionsomkostninger og priskalkulation, hvilket resulterer i fejlagtige regnskaber og tab for virksomheden, inden fejlen opdages uger senere.
Ekstern angriber overtager system via phishing
En angriber sender en phishing-mail til en medarbejder og får fat i dennes Oracle EBS-loginoplysninger. Med den kompromitterede konto bruger angriberen CVE-2026-46940 til at overtage Cost Management-modulet, trækker fortrolige leverandørpriser og marginer ud og sælger informationerne til en konkurrent.
Ransomware-aktør krypterer EBS-data
En organiseret hackergruppe udnytter sårbarheden til at skaffe sig fuld kontrol over Oracle EBS-installationen. Gruppen installerer ransomware (afpresningssoftware), der krypterer virksomhedens data og kræver løsepenge for at gendanne adgangen. Produktionen stopper i flere dage.
Ofte stillede spørgsmål
Skal man være administrator for at udnytte denne fejl?
Nej. Det er netop det, der gør den særlig farlig. En helt almindelig bruger med lav adgang i Oracle EBS kan udnytte fejlen. Det kræver ikke administrator- eller superbrugerrettigheder.
Er vi i fare, hvis Oracle EBS kun er tilgængeligt internt på vores netværk?
Risikoen er lavere, men ikke elimineret. Hvis en intern medarbejder eller en angriber, der allerede har adgang til jeres netværk, har en brugerkonto i systemet, kan de stadig udnytte sårbarheden. Patch bør stadig installeres hurtigst muligt.
Hvad er et Critical Patch Update (CPU) fra Oracle?
Oracle udgiver samlepatches til deres produkter fire gange om året, kaldet Critical Patch Updates. De indeholder sikkerhedsrettelser til kendte sårbarheder. Du finder dem via Oracles support-portal (My Oracle Support). Din Oracle-leverandør kan hjælpe dig med at installere dem korrekt.
Kan vi blot slukke for Cost Planning-modulet som en midlertidig løsning?
Det kan reducere risikoen midlertidigt, men det er ikke en garanti. Den bedste løsning er at installere den officielle patch fra Oracle. Tal med din IT-leverandør om, hvad der er muligt i jeres situation.
Hvad sker der med vores data, hvis nogen udnytter fejlen?
En angriber kan potentielt læse, ændre eller slette data i Cost Management — herunder følsomme oplysninger om produktionsomkostninger, priser og budgetter. I værste fald kan hele systemet overtages, hvilket også kan påvirke andre dele af Oracle EBS.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Cost Management product of Oracle E-Business Suite (component: Cost Planning). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Cost Management. Successful attacks of this vulnerability can result in takeover of Oracle Cost Management. CVSS 3.1 Base Score 8.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
