CVE-2026-35295: Alvorlig fejl i Oracle WebCenter Sites
Kritisk sårbarhed i Oracle WebCenter Sites kan give angribere fuld kontrol over dit indholdsstyringssystem via netværket.
Hvad er det?
CVE-2026-35295 er en sårbarhed i Oracle WebCenter Sites, som er et system til styring af hjemmesideindhold (CMS). Fejlen er klassificeret som CWE-306, hvilket betyder, at systemet mangler korrekt godkendelseskontrol (autentificering) for vigtige funktioner. En angriber med en almindelig brugerkonto kan via internettet udnytte denne svaghed til at overtage hele systemet. Angrebet kræver en vis teknisk indsigt (høj kompleksitet), men kræver ingen hjælp fra dig eller dine medarbejdere for at lykkes. Sårbarheden påvirker versionerne 12.2.1.4.0 og 14.1.2.0.0 af Oracle WebCenter Sites.
Hvem rammer det?
Sårbarheden rammer organisationer, der anvender Oracle WebCenter Sites version 12.2.1.4.0 eller 14.1.2.0.0 som deres hjemmeside- eller indholdsstyringssystem. Det drejer sig typisk om mellemstore og større virksomheder, offentlige institutioner samt medievirksomheder, der bruger Oracle Fusion Middleware-platformen til at drive deres digitale tilstedeværelse. Hvis dit system er tilgængeligt via internettet, er risikoen forhøjet.
Hvad kan ske?
En vellykket udnyttelse af denne sårbarhed kan give angriberen fuld kontrol over dit Oracle WebCenter Sites-system. Det betyder, at angriberen kan:
- Læse og stjæle fortroligt indhold og brugerdata (brud på fortrolighed)
- Ændre eller slette hjemmesideindhold og interne data (brud på integritet)
- Gøre systemet utilgængeligt for dig og dine besøgende (brud på tilgængelighed)
- Bruge systemet som springbræt til at angribe andre dele af din IT-infrastruktur
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.5 ud af 10, hvilket kategoriseres som alvorlig (high). Selvom angrebet kræver teknisk kompetence og en eksisterende (lavprivilegeret) brugerkonto, er konsekvenserne maksimale — angriberen kan opnå fuld kontrol over systemet. Da angrebet kan gennemføres over netværket uden din medvirken, og resulterer i total kompromittering af fortrolighed, integritet og tilgængelighed, bør det tages meget seriøst.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit system hurtigst muligt:
- Tjek din version: Undersøg om du kører Oracle WebCenter Sites version 12.2.1.4.0 eller 14.1.2.0.0. Din IT-ansvarlige eller systemleverandør kan hjælpe dig med dette.
- Installer Oracles sikkerhedsopdatering: Hold øje med Oracles Critical Patch Update (CPU) og installer den relevante patch så snart den er tilgængelig.
- Begræns netværksadgang: Overvej midlertidigt at begrænse adgangen til Oracle WebCenter Sites til kendte IP-adresser eller via VPN (et sikkert, krypteret forbindelsesnetværk), indtil patchen er installeret.
- Gennemgå brugerkonti: Sørg for at kun nødvendige medarbejdere har aktive brugerkonti i systemet, og fjern ubrugte eller forældede konti.
- Overvåg systemet: Hold øje med unormal aktivitet i logs (systemets aktivitetsregistrering) og kontakt din IT-sikkerhedspartner ved mistanke om angreb.
Patch hurtigst muligt — inden for 7 dage
Vi anbefaler, at du straks kontakter din IT-ansvarlige eller systemleverandør for at få klarlagt, om du kører en af de berørte versioner af Oracle WebCenter Sites. Installer Oracles sikkerhedsopdatering så hurtigt som muligt, og begræns i mellemtiden adgangen til systemet mest muligt. Har du brug for hjælp til at vurdere din eksponering eller planlægge opdateringen, er du velkommen til at kontakte Auroa.
Tidslinje
Konkrete eksempler
Angriber med gammel leverandørkonto overtager hjemmesiden
En ekstern webleverandør, der hjalp jer med at bygge jeres hjemmeside for to år siden, har stadig en aktiv, lavprivilegeret konto i Oracle WebCenter Sites. En angriber, der har fået fat i leverandørens loginoplysninger via et tidligere datalæk, bruger kontoen til at udnytte CWE-306-fejlen og eskalerer sine rettigheder til fuld administratoradgang. Angriberen ændrer nu indholdet på jeres hjemmeside og installerer ondsindet kode.
Datatyveri via kompromitteret brugerkonto
En angriber bruger en phishing-e-mail (et falsk e-mail der narrer modtageren til at udlevere login) til at få fat i en medarbejders Oracle WebCenter Sites-adgangskode. Via den lavprivilegerede konto og CVE-2026-35295 opnår angriberen fuld systemadgang og eksporterer alle lagrede kundedata, abonnementsoplysninger og interne dokumenter — et potentielt GDPR-brud med store konsekvenser.
Ransomware-angreb via WebCenter Sites
En angriber udnytter sårbarheden til at få fuld kontrol over Oracle WebCenter Sites og bruger denne adgang som indgang til det øvrige netværk. Herfra installeres ransomware (afpresningssoftware der krypterer jeres filer og kræver løsesum), som lammet hele virksomhedens drift. Hjemmesiden går ned, interne systemer krypteres, og virksomheden står over for et krav om løsesum for at genskabe adgangen.
Ofte stillede spørgsmål
Bruger vi overhovedet Oracle WebCenter Sites?
Oracle WebCenter Sites bruges typisk af virksomheder, der har implementeret Oracles Fusion Middleware-platform til at drive deres hjemmeside eller digitale indholdsportal. Er du i tvivl, kan din IT-afdeling eller systemleverandør hurtigt tjekke det. Kig også efter Oracle-logoet eller -dokumentation i jeres systemdokumentation.
Skal angriberen have en konto hos os for at udnytte fejlen?
Ja, angriberen skal have en brugerkonto med lave rettigheder i systemet for at kunne udnytte denne sårbarhed. Det betyder, at tidligere ansatte, leverandører eller eksterne samarbejdspartnere med aktive konti udgør en potentiel risiko. Gennemgå derfor jeres brugerliste og deaktiver konti, der ikke længere er i brug.
Hvad er CWE-306, og hvorfor er det farligt?
CWE-306 betyder, at systemet undlader at kræve korrekt godkendelse (autentificering) for at udføre visse kritiske handlinger. Det svarer til, at en dør i din virksomhed ikke låser korrekt — selv om man skal bruge en nøgle for at komme ind i bygningen, kan man åbne specifikke rum indefra uden yderligere tilladelse. Det gør det muligt for en angriber med blot en simpel adgangskode at overtage hele systemet.
Er der tegn på, at sårbarheden allerede udnyttes aktivt?
På nuværende tidspunkt er der ikke bekræftede rapporter om udbredt aktiv udnyttelse i Danmark. Dog er alvorligheden høj nok til, at det bør behandles som en hastesag. Sårbarheder med denne profil tiltrækker hurtigt opmærksomhed fra angribere, når de offentliggøres.
Kan vi nøjes med at begrænse adgangen i stedet for at patche?
Adgangsbegrænsning — fx via VPN eller IP-filtrering — kan fungere som en midlertidig løsning, men er ikke tilstrækkelig på lang sigt. Den eneste holdbare løsning er at installere Oracles officielle sikkerhedsopdatering. Brug adgangsbegrænsning som en buffer, mens I planlægger og gennemfører opdateringen.
Hvad sker der, hvis vi ikke gør noget?
Hvis I ikke handler, risikerer I, at en angriber overtager jeres Oracle WebCenter Sites-system fuldstændigt. Det kan betyde nedetid på jeres hjemmeside, datatyveri, ødelæggelse af indhold og potentielt spredning til andre systemer i jeres netværk. Det kan også have konsekvenser i forhold til GDPR (databeskyttelseslovgivningen), hvis persondata kompromitteres.
Ramte produkter
Oracle — Webcenter Sites
12.2.1.4.0
Oracle — Webcenter Sites
14.1.2.0.0
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Sites product of Oracle Fusion Middleware (component: WebCenter Sites). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Sites. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Sites. CVSS 3.1 Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
