CVE-2026-46942
Alvorlig

CVE-2026-46942: Kritisk fejl i Oracle E-Business Suite

Kritisk sårbarhed i Oracle E-Business Suite giver angribere fuld kontrol over produktionsplanlægning via netværket.

CVSS Score
8.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch senest inden for 14 dage

Hvad er det?

En sårbarhed er opdaget i modulet Oracle Process Manufacturing Process Planning, som er en del af Oracle E-Business Suite — et udbredt forretningssystem til bl.a. produktion, økonomi og logistik. Sårbarheden findes i versionerne 12.2.3 til 12.2.15.

En angriber med blot et almindeligt brugernavn og adgangskode kan via internettet (HTTP) udnytte fejlen til at overtage hele det ramte modul. Det kræver ingen særlige tekniske færdigheder, og angrebet kan udføres uden hjælp fra andre brugere.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3 til 12.2.15 med modulet Process Manufacturing Process Planning aktiveret. Det gælder typisk:

  • Producerende virksomheder der bruger Oracle til produktionsplanlægning
  • Virksomheder i fødevare-, kemi- eller farmaceutisk industri, der benytter Oracle Process Manufacturing
  • Organisationer der har Oracle E-Business Suite tilgængeligt via netværket — herunder fra internettet

Hvis din virksomhed ikke bruger dette specifikke modul, er du ikke direkte berørt.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan konsekvenserne være alvorlige:

  • Fuld overtagelse af Oracle Process Manufacturing Process Planning-modulet
  • Datatyveri — angriberen kan læse fortrolige produktions-, ordre- og kundedata
  • Manipulation af data — produktionsplaner, opskrifter og interne processer kan ændres eller slettes
  • Driftsnedbrud — systemet kan gøres utilgængeligt, hvilket stopper produktionsplanlægningen
  • Risiko for at angriberen bruger adgangen som springbræt til andre systemer i virksomheden

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,8 ud af 10 (Alvorlig/High) efter den internationale CVSS-standard. Det er en meget høj score, og det skyldes flere faktorer:

  • Angrebet kan udføres over netværket — angriberen behøver ikke fysisk adgang
  • Lav kompleksitet — fejlen er nem at udnytte
  • Kun almindelige brugerrettigheder kræves — ikke administrator-adgang
  • Påvirker både fortrolighed, integritet og tilgængelighed fuldt ud

Kort sagt: En angriber med et gyldigt login kan potentielt overtage hele modulet uden større besvær.

Hvad gør jeg nu?

Du bør handle hurtigt. Følg disse trin:

  1. Afklar om du er berørt: Kontakt din Oracle-administrator eller IT-leverandør og få bekræftet, om I bruger Oracle E-Business Suite version 12.2.3–12.2.15 med Process Manufacturing Process Planning.
  2. Installer Oracles sikkerhedsopdatering: Oracle udgiver normalt patches via deres Critical Patch Update (CPU). Tjek Oracles officielle supportportal (My Oracle Support) for den relevante patch til CVE-2026-46942.
  3. Begræns netværksadgang midlertidigt: Hvis patching ikke kan ske straks, så overvej at begrænse adgangen til modulet til kun interne netværk og specifikke IP-adresser.
  4. Gennemgå brugerkonti: Kontrollér hvem der har adgang til det ramte modul og fjern unødvendige brugerkonti eller adgange.
  5. Overvåg for mistænkelig aktivitet: Bed din IT-afdeling eller leverandør om at tjekke logs for usædvanlig aktivitet i Oracle-systemet.
Tidsfrist

Patch senest inden for 14 dage

Sådan ser Auroa det

Med en CVSS-score på 8,8 og ingen krav om særlige rettigheder er dette en sårbarhed, du ikke bør vente med at håndtere. Vi anbefaler, at du kontakter din Oracle-leverandør eller interne IT-ansvarlige senest i dag for at vurdere omfanget og planlægge patching. Har du ikke ressourcerne internt, kan Auroa hjælpe dig med at vurdere eksponeringen og koordinere opdateringsprocessen.

Tidslinje

17/06/2026
CVE offentliggjort af NVD
Oracle offentliggør sårbarheden CVE-2026-46942 som en del af deres Critical Patch Update for juni 2026. CVSS-score sættes til 8,8 (Alvorlig).
17/06/2026
Patch tilgængelig fra Oracle
Oracle frigiver sikkerhedsopdatering til de ramte versioner 12.2.3–12.2.15 via My Oracle Support i forbindelse med den kvartalsvise CPU-udgivelse.
18/06/2026
Proof-of-concept forventes tilgængeligt
Erfaringsmæssigt offentliggøres tekniske detaljer og proof-of-concept eksempelkode for Oracle CPU-sårbarheder inden for dage efter offentliggørelsen, hvilket øger angrebsrisikoen markant.
01/07/2026
Øget angrebsrisiko uden patch
Virksomheder der endnu ikke har patchet, løber en stigende risiko efterhånden som angribere aktivt begynder at scanne efter sårbare Oracle E-Business Suite-installationer.

Konkrete eksempler

Medarbejder-konto misbruges til systemovertagelse

En angriber køber et stjålet Oracle-login på darkweb — eksempelvis fra en tidligere medarbejder. Med dette almindelige brugernavn og password logger angriberen ind i Oracle E-Business Suite via virksomhedens webportal og udnytter CVE-2026-46942 til at eskalere sine rettigheder og overtage Process Manufacturing-modulet. Herefter kan angriberen ændre produktionsopskrifter og -ordrer eller eksportere fortrolige data uden at blive opdaget.

Intern aktør manipulerer produktionsdata

En utilfreds medarbejder med adgang til Oracle E-Business Suite bruger sårbarheden til at manipulere produktionsplaner og lagerbeholdningsdata i Process Manufacturing-modulet. Da angrebet ikke kræver administrator-rettigheder, er medarbejderens sædvanlige konto nok. Sabotagen opdages først dage senere, når produktionsfejl begynder at opstå i den fysiske produktion.

Ransomware-gruppe bruger Oracle som indgangspunkt

En organiseret cyberkriminel gruppe scanner systematisk internettet for Oracle E-Business Suite-installationer der er eksponeret på port 443 eller 80. Når de finder en sårbar installation, logger de ind med et kompromitteret servicekonto-login og udnytter CVE-2026-46942. Adgangen bruges som springbræt til virksomhedens øvrige netværk, hvor de installerer ransomware og krypterer virksomhedens data og kræver løsesum.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Process Manufacturing Process Planning product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Process Manufacturing Process Planning. Successful attacks of this vulnerability can result in takeover of Oracle Process Manufacturing Process Planning. CVSS 3.1 Base Score 8.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46942
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch senest inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.