CVE-2026-35307: Kritisk sårbarhed i Oracle Coherence
Kritisk sårbarhed i Oracle Coherence giver angribere fuld kontrol over serveren uden login – CVSS 10.0.
Hvad er det?
Oracle Coherence er et stykke serversoftware, der bruges til at dele og cache data hurtigt på tværs af flere servere. Det indgår typisk som en del af Oracle Fusion Middleware – en platform mange virksomheder bruger bag kulisserne i deres forretningssystemer.
Denne sårbarhed betyder, at en angriber via det almindelige HTTP-protokol (samme protokol som websider bruger) kan overtage Oracle Coherence fuldstændigt – uden at kende et brugernavn eller adgangskode, og uden at du eller dine medarbejdere behøver gøre noget forkert. CVSS-scoren er 10.0, som er den højest mulige alvorlighedsgrad.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører én af følgende versioner af Oracle Coherence:
- Version 12.2.1.4.0
- Version 14.1.1.0.0
- Version 14.1.2.0.0
- Version 15.1.1.0.0
Oracle Coherence bruges primært i mellemstore og større virksomheder, der har Oracle Fusion Middleware som en del af deres IT-infrastruktur – for eksempel til ERP-systemer (forretningsstyringssystemer), portaler eller andre enterprise-applikationer. Hvis du er i tvivl, bør du spørge din IT-leverandør eller systemadministrator, om I bruger Oracle Fusion Middleware.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Fuld overtagelse: Angriberen kan tage fuldstændig kontrol over den server, der kører Oracle Coherence.
- Datatyveri: Al data, der behandles eller opbevares i systemet, kan læses og kopieres – herunder kundeoplysninger, forretningsdata og interne dokumenter.
- Manipulation af data: Angriberen kan ændre eller slette data, hvilket kan føre til fejl i forretningsprocesser og regnskaber.
- Nedbrud: Systemet kan gøres utilgængeligt, hvilket kan lamme virksomhedens drift.
- Spredning til andre systemer: Fordi sårbarhedens omfang er markeret som ‘scope change’, kan et angreb sprede sig og påvirke andre systemer og applikationer, der er forbundet med Oracle Coherence.
Hvor alvorligt er det?
Dette er en sårbarhed med den højest mulige CVSS-score: 10.0 – Kritisk. Det skyldes en kombination af de værst tænkelige omstændigheder:
- Ingen login krævet: Angriberen behøver ikke kendte brugeroplysninger.
- Ingen brugerinteraktion: Du eller dine medarbejdere behøver ikke klikke på noget eller åbne en fil.
- Lav angrebskompleksitet: Angrebet er ikke teknisk kompliceret at udføre.
- Adgang via netværk: Angrebet kan udføres over internettet eller det interne netværk.
- Fuld CIA-påvirkning: Fortrolighed (Confidentiality), integritet (Integrity) og tilgængelighed (Availability) er alle maksimalt påvirket.
Hvis dit system er eksponeret mod internettet, bør du behandle dette som en akut situation.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:
- Find ud af, om I er berørt: Kontakt din IT-leverandør eller systemadministrator og spørg, om I kører Oracle Coherence som del af Oracle Fusion Middleware, og hvilken version det er.
- Installér sikkerhedsopdateringen: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Sørg for, at din IT-ansvarlige installerer den hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, bør I overveje at blokere adgangen til Oracle Coherence fra internettet via en firewall (netværkssikkerhedsbarriere), indtil rettelsen er på plads.
- Tjek logfiler: Bed din IT-ansvarlige om at gennemgå systemlogfiler for usædvanlig aktivitet, der kan indikere, at sårbarheden allerede er forsøgt udnyttet.
- Informér relevante parter: Hvis I behandler persondata, og der er mistanke om, at data er kompromitteret, skal I vurdere jeres forpligtelser under GDPR – herunder eventuel anmeldelse til Datatilsynet inden for 72 timer.
Opdatér inden for 24-48 timer
Med en CVSS-score på 10.0 er dette den mest alvorlige kategori af sårbarheder, og vi anbefaler, at du behandler det som en akut opgave. Kontakt din IT-leverandør i dag og få bekræftet, om I er berørt, og sørg for at sikkerhedsopdateringen fra Oracles Critical Patch Update bliver installeret øjeblikkeligt. Overvej at blokere ekstern adgang til systemet som en midlertidig foranstaltning, mens opdateringen forberedes. Du behøver ikke forstå de tekniske detaljer – det vigtigste er, at du sætter gang i processen nu.
Tidslinje
Konkrete eksempler
Angriber overtager server via HTTP
En angriber scanner internettet efter servere, der kører Oracle Coherence på standardporte. Uden at kende brugernavne eller adgangskoder sender angriberen en særligt udformet HTTP-forespørgsel til serveren. Serveren behandler forespørgslen og giver angriberen adgang til at udføre kommandoer – angriberen har nu fuld kontrol og kan installere ransomware (afpresningssoftware) eller stjæle data.
Intern angriber udnytter svagt netværk
En medarbejders bærbare computer inficeres med malware via en phishing-mail. Malwaren scanner det interne netværk og opdager, at virksomheden kører Oracle Coherence internt. Via den kompromitterede computer udnytter angriberen CVE-2026-35307 og får adgang til Oracle-serveren – og derfra videre til tilkoblede systemer som ERP og filserver.
Datatyveri fra cache-lagret forretningsdata
Oracle Coherence bruges til at cache (midlertidigt gemme) forretningsdata for hurtig adgang – for eksempel kundeoplysninger, ordredata eller prislister. En angriber, der udnytter sårbarheden, kan dumpe (kopiere) alt indhold fra denne cache uden at efterlade spor i de normale forretningssystemer. Virksomheden opdager måske aldrig tyveriet, medmindre de aktivt overvåger Oracle Coherence-serveren.
Ofte stillede spørgsmål
Hvordan ved jeg, om min virksomhed bruger Oracle Coherence?
Oracle Coherence er sjældent noget, man installerer direkte og bevidst som SMV. Det følger typisk med som en del af Oracle Fusion Middleware, som kan være en komponent i et større system – for eksempel et ERP-system (forretningsstyringssystem) eller en kundeportal leveret af en IT-partner. Spørg din IT-leverandør: ‘Kører vi Oracle Fusion Middleware eller Oracle Coherence?’ De kan slå det op for dig.
Kan vi risikere at blive angrebet, selvom vi ikke er eksponeret direkte på internettet?
Ja, det er muligt. Selvom Oracle Coherence ikke er direkte tilgængeligt fra internettet, kan en angriber, der allerede har fået fodfæste i jeres netværk – for eksempel via phishing eller en kompromitteret medarbejders computer – potentielt udnytte sårbarheden internt. Derfor er det vigtigt at opdatere, uanset om systemet er synligt udefra eller ej.
Hvad er en 'scope change', og hvorfor er det farligt?
‘Scope change’ betyder, at et vellykket angreb ikke kun påvirker det sårbare system selv – det kan også ramme andre systemer og applikationer, der er forbundet med det. I praksis betyder det, at angriberen kan bruge Oracle Coherence som et springbræt til at angribe resten af jeres IT-miljø. Det gør denne sårbarhed særligt farlig i sammenkoblede systemer.
Hvad gør vi, hvis vi ikke kan opdatere med det samme?
Hvis en øjeblikkelig opdatering ikke er mulig – for eksempel fordi det kræver planlægning og et vedligeholdelsesvindue – bør I som minimum bede jeres IT-ansvarlige om at blokere adgangen til Oracle Coherence via en firewall, så kun betroede systemer og netværk kan nå det. Dette er en midlertidig løsning og erstatter ikke opdateringen. Sæt en konkret dato for, hvornår opdateringen gennemføres.
Skal vi anmelde det til Datatilsynet?
Kun hvis I har begrundet mistanke om, at persondata faktisk er blevet kompromitteret som følge af et angreb. Hvis I opdager og patcher sårbarheden, inden den er udnyttet, er der som udgangspunkt ikke anmeldelsespligt. Men hvis I opdager tegn på et angreb, eller data kan være stjålet, har I under GDPR 72 timer til at anmelde det til Datatilsynet. Kontakt en juridisk eller databeskyttelsesrådgiver, hvis I er usikre.
Er der andre Oracle-produkter, der er berørt af lignende sårbarheder?
Oracle udgiver regelmæssigt Critical Patch Updates (CPU), der samler rettelser til mange produkter på én gang. Det er god praksis at gennemgå hele CPU-listen med din IT-leverandør, når en ny udkommer – ikke kun de sårbarheder, der omtales i medierne. På den måde sikrer I, at alle Oracles produkter i jeres miljø holdes opdaterede.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Core). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
