CVE-2026-47633
Alvorlig

CVE-2026-47633: Datalæk i Cost Management

Sårbarhed i Cost Management Interactive Experiences lækker følsomme data til uautoriserede angribere via netværket.

CVSS Score
7.5
Offentliggjort
18/06/2026
Patch-status
none
Exploit
none_known
Tidsfrist
Handl inden for 7 dage

Hvad er det?

CVE-2026-47633 er en informationsafsløringssårbarhed (en fejl der utilsigtet afslører data, som ikke må være offentligt tilgængelige) i produktet Cost Management Interactive Experiences. Fejlen betyder, at en angriber uden login eller særlige rettigheder kan tilgå følsomme oplysninger ved blot at sende forespørgsler over internettet. Der kræves ingen handling fra din side eller dine medarbejderes side for at angrebet kan gennemføres. Teknisk set er fejlen klassificeret som CWE-200, hvilket betyder, at systemet ikke beskytter sine data tilstrækkeligt mod uautoriserede parter.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der anvender Cost Management Interactive Experiences. Hvis du bruger dette produkt til at styre eller visualisere omkostninger i din virksomhed, kan du være i farezonen. Da angrebet kan udføres over netværket uden forudgående adgang, er alle eksponerede installationer potentielt sårbare — uanset virksomhedens størrelse.

Hvad kan ske?

En angriber kan udnytte fejlen til at læse følsomme oplysninger fra systemet uden at logge ind. Det kan dreje sig om:

  • Fortrolige omkostningsdata og finansielle oplysninger
  • Interne forretningstal eller budgetinformation
  • Bruger- eller konfigurationsoplysninger gemt i systemet

Angrebet påvirker udelukkende fortrolighed (C=HIGH) — dine data kan altså læses og kopieres, men angriberen kan ikke ændre eller slette dem via denne fejl alene. Det betyder dog ikke, at konsekvenserne er ubetydelige: lækkede forretningsdata kan bruges til konkurrenceudspionering, phishing eller videresalg.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.5 — Alvorlig. Den scorer højt fordi:

  • Angrebet kan udføres over netværket (ingen fysisk adgang nødvendig)
  • Det er teknisk enkelt at udnytte (lav kompleksitet)
  • Angriberen behøver ingen forudgående login eller rettigheder
  • Der kræves ingen handling fra brugere i din virksomhed

Det eneste der trækker ned fra den absolutte topkarakter, er at angrebet kun kompromitterer fortrolighed — ikke din evne til at bruge systemet eller integriteten af dine data.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Identificér om du bruger produktet: Tjek om Cost Management Interactive Experiences er installeret eller i brug i din organisation.
  2. Tjek efter opdateringer: Gå ind på leverandørens hjemmeside eller kontakt din IT-leverandør for at høre om der er udgivet en sikkerhedsopdatering.
  3. Begræns netværksadgang midlertidigt: Hvis en patch endnu ikke er tilgængelig, så overvej at begrænse adgangen til systemet via firewall, så kun godkendte brugere og IP-adresser kan nå det.
  4. Gennemgå adgangslogge: Se om der har været usædvanlige forespørgsler mod systemet, som kan indikere at nogen allerede har forsøgt at udnytte fejlen.
  5. Informér relevante medarbejdere: Sørg for at dem der arbejder med systemet ved besked, og at IT-ansvarlige er orienteret.
Tidsfrist

Handl inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du straks undersøger om Cost Management Interactive Experiences er i brug i din virksomhed, og om leverandøren har udsendt en sikkerhedsopdatering. Indtil en patch er tilgængelig, bør du begrænse systemets eksponering mod internettet ved hjælp af firewall-regler eller adgangskontrol. Kontakt din IT-leverandør eller Auroa, hvis du er i tvivl om din eksponering eller har brug for hjælp til at afhjælpe problemet.

Tidslinje

18/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-47633 med en CVSS-score på 7.5 (Alvorlig). Sårbarheden beskrives som en informationsafsløringsfejl i Cost Management Interactive Experiences.
18/06/2026
Ingen patch tilgængelig ved offentliggørelse
På tidspunktet for offentliggørelsen er der endnu ikke registreret en officiel sikkerhedsopdatering. Virksomheder opfordres til at følge med i leverandørens sikkerhedsbulletiner.
18/06/2026
Ingen kendte aktive exploits
Der er på nuværende tidspunkt ikke rapporteret om aktiv udnyttelse af sårbarheden i naturen (in the wild). Situationen kan ændre sig hurtigt, da angrebet er teknisk enkelt at udføre.

Konkrete eksempler

Automatiseret scanning efter eksponerede endpoints

En angriber bruger et automatiseret scanningsværktøj til at finde virksomheder der kører Cost Management Interactive Experiences eksponeret mod internettet. Uden at logge ind sender angriberen en simpel HTTP-forespørgsel til et sårbart endpoint og modtager et svar indeholdende interne omkostningsdata eller konfigurationsoplysninger. Hele processen kan gennemføres på få minutter og efterlader minimale spor.

Målrettet konkurrenceudspionering

En konkurrent eller ondsindet aktør identificerer at din virksomhed bruger det sårbare produkt og udnytter fejlen til systematisk at hente finansielle data, budgetter eller prisstrukturer ud af systemet. Disse oplysninger kan efterfølgende bruges til at underby dig i tilbudsgivning eller til at kortlægge din forretningsstrategi.

Forberedelse til et større angreb

En angriber bruger de lækkede oplysninger — fx brugernavne, systemkonfiguration eller interne processer — som springbræt til et mere omfattende angreb mod din virksomhed. Informationen kan bruges til at lave overbevisende phishing-mails rettet mod dine medarbejdere eller til at identificere andre svagheder i din IT-infrastruktur.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-200

Original NVD-beskrivelse (engelsk)

Exposure of sensitive information to an unauthorized actor in Cost Management Interactive Experiences allows an unauthorized attacker to disclose information over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-47633
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
none_known
Patch-status
none
Tidsfrist
Handl inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.