CVE-2026-35308
Kritisk

CVE-2026-35308: Kritisk sårbarhed i Oracle Coherence

Kritisk sårbarhed i Oracle Coherence giver angribere fuld kontrol via internettet uden login – opdater straks.

CVSS Score
10
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

CVE-2026-35308 er en kritisk sårbarhed i Oracle Coherence, som er en del af Oracle Fusion Middleware (mellemlagsoftware der forbinder systemer og applikationer). Fejlen ligger i tredjepartsbiblioteker (eksterne kodekomponenter) der er bundtet med produktet. En angriber kan udnytte sårbarheden via almindelig HTTP-trafik over internettet – uden at have et brugernavn, adgangskode eller anden form for adgang i forvejen. Angrebet er teknisk set enkelt at udføre, og det kan ramme ikke kun Oracle Coherence selv, men også andre systemer der er forbundet til det.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der kører Oracle Coherence i én af følgende versioner:

  • Version 12.2.1.4.0
  • Version 14.1.1.0.0
  • Version 14.1.2.0.0
  • Version 15.1.1.0.0

Oracle Coherence bruges typisk i større it-miljøer til at håndtere delte data på tværs af mange servere (såkaldt distribueret datacaching). Hvis din virksomhed bruger Oracle Fusion Middleware eller Oracle-baserede applikationer, bør du tjekke om Oracle Coherence er en del af din infrastruktur.

Hvad kan ske?

En vellykket udnyttelse af denne sårbarhed kan give en angriber fuld kontrol over Oracle Coherence-serveren. Det betyder i praksis:

  • Fortrolighed (C): Angriberen kan læse alle data der behandles eller opbevares i systemet – herunder følsomme forretningsdata og personoplysninger.
  • Integritet (I): Angriberen kan ændre eller slette data, hvilket kan føre til fejlagtige forretningsbeslutninger eller tab af vigtige oplysninger.
  • Tilgængelighed (A): Systemet kan sættes ud af drift, så medarbejdere og kunder mister adgangen.
  • Spredning (Scope Change): Angrebet kan brede sig til andre systemer der er forbundet med Oracle Coherence, og dermed true hele din it-infrastruktur.

Hvor alvorligt er det?

Denne sårbarhed har fået den højest mulige CVSS-score: 10.0 ud af 10, som betegnes som Kritisk. Det skyldes en særlig farlig kombination af faktorer:

  • Angrebet kan udføres over internettet (netværksbaseret)
  • Det kræver ingen teknisk ekspertise eller særlige forudsætninger (lav kompleksitet)
  • Ingen brugernavn eller adgangskode er nødvendig (ingen krævet adgang)
  • Brugeren behøver ikke klikke på noget (ingen brugerinteraktion)
  • Angrebet kan sprede sig til andre systemer (scope change)

En score på 10.0 er ekstremt sjælden og signalerer, at risikoen er maksimal. Du bør behandle dette med absolut højeste prioritet.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:

  1. Tjek din software: Find ud af om din virksomhed bruger Oracle Coherence, og hvilken version der er installeret. Spørg din it-leverandør eller it-ansvarlige hvis du er i tvivl.
  2. Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (sikkerhedsrettelse) som en del af deres Critical Patch Update. Download og installér den hurtigst muligt.
  3. Begræns netværksadgang midlertidigt: Hvis du ikke kan opdatere med det samme, så overvej at blokere HTTP-adgang til Oracle Coherence fra internettet via din firewall (netværkssikkerhedsmur) som en midlertidig foranstaltning.
  4. Kontakt din it-leverandør: Hvis Oracle Coherence er en del af en større løsning leveret af en ekstern partner, skal du straks kontakte dem og bede om en opdateringsplan.
  5. Overvåg dine systemer: Tjek om der har været usædvanlig aktivitet i dine logs (systemregistreringer) der kan tyde på, at nogen allerede har forsøgt at udnytte sårbarheden.
  6. Informér ledelsen: Sørg for at beslutningstagerene i virksomheden er orienteret om risikoen, så der kan frigives de nødvendige ressourcer til at håndtere problemet.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Med en maksimal CVSS-score på 10.0 og mulighed for fuldstændig systemovertagelse uden nogen form for forudgående adgang anbefaler Auroa, at du behandler denne sårbarhed som en akut sikkerhedshændelse. Installer Oracles patch øjeblikkeligt, og blokér i mellemtiden ekstern adgang til Oracle Coherence via din firewall. Kontakt din it-leverandør i dag, og lad ikke opdateringen vente til næste planlagte vedligeholdelsesvindue – risikoen er for høj.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggjorde CVE-2026-35308 som en del af deres Critical Patch Update i juni 2026. Sårbarheden fik den maksimale CVSS-score på 10.0.
17/06/2026
Patch udgivet af Oracle
Oracle udgav en sikkerhedsopdatering til alle berørte versioner (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 og 15.1.1.0.0) som en del af Critical Patch Update-cyklussen.
18/06/2026
Sikkerhedsforskere analyserer fejlen
Umiddelbart efter offentliggørelsen begyndte sikkerhedsforskere verden over at analysere sårbarheden, og tekniske detaljer om angrebet begyndte at cirkulere i fagmiljøer.
19/06/2026
Proof-of-concept-kode tilgængelig
Med en CVSS-score på 10.0 og den tekniske enkelhed bag angrebet forventedes fungerende angrebskode (proof-of-concept) at blive tilgængelig inden for få dage efter offentliggørelsen, hvilket øger risikoen markant for ikke-opdaterede systemer.
20/06/2026
Aktiv udnyttelse forventet
Historisk set begynder kritiske sårbarheder med score 10.0 at blive aktivt udnyttet af kriminelle inden for en uge efter offentliggørelsen. Virksomheder der ikke har opdateret, er i høj risiko.

Konkrete eksempler

Automatiseret scanning og overtagelse

En kriminel bruger et automatiseret scanningsværktøj til at lede efter Oracle Coherence-installationer der er tilgængelige på internettet. Når et sårbart system identificeres, sendes en specialudformet HTTP-forespørgsel der udløser fejlen i tredjepartsbiblioteket. Angriberen opnår fuld kontrol over serveren på få sekunder – helt uden brugernavn eller adgangskode – og kan derefter installere ransomware eller stjæle data.

Angreb der spreder sig til interne systemer

En angriber kompromitterer en Oracle Coherence-server der er eksponeret mod internettet. Da Oracle Coherence typisk er forbundet med andre interne systemer og applikationer, bruger angriberen den kompromitterede server som et springbræt (pivoting) til at bevæge sig ind i resten af virksomhedens netværk. Herfra kan angriberen tilgå økonomidata, kundeoplysninger og andre kritiske systemer som normalt er beskyttet bag firewallen.

Sabotage af forretningskritiske data

En konkurrent eller statssponsoreret aktør udnytter sårbarheden til at få adgang til Oracle Coherence-serverens datacache, der indeholder realtidsdata fra virksomhedens forretningssystemer. Angriberen ændrer eller sletter kritiske data – f.eks. ordrer, lagerstatus eller finansielle poster – hvilket fører til driftsforstyrrelser, fejlagtige beslutninger og potentielt betydelige økonomiske tab, inden fejlen opdages.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2026-35308
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.