CVE-2026-35309: Kritisk sårbarhed i Oracle Coherence
Kritisk fejl i Oracle Coherence giver uautoriserede angribere fuld kontrol over systemet via netværket.
Hvad er det?
CVE-2026-35309 er en kritisk sikkerhedssårbarhed i Oracle Coherence, som er en del af Oracle Fusion Middleware. Fejlen findes i en komponent kaldet ‘Centralized Third Party Jars’ – altså tredjepartsbiblioteker (eksterne kodepakker) der er bundtet med produktet. En angriber kan udnytte fejlen over netværket via HTTP (den normale webprotokol) uden at skulle logge ind eller have særlige rettigheder. Det kræver heller ikke, at en bruger gør noget. Resultatet er en fuldstændig overtagelse af det ramte system.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der anvender Oracle Coherence som del af Oracle Fusion Middleware i følgende versioner:
- 12.2.1.4.0
- 14.1.1.0.0
- 14.1.2.0.0
- 15.1.1.0.0
Oracle Coherence bruges typisk som et distribueret data-cache-system (et lag der gemmer data hurtigt tilgængeligt for applikationer) i mellemstore og store virksomhedsmiljøer. Er du usikker på om din virksomhed bruger produktet, bør du tjekke med din IT-leverandør.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende opnå fuld kontrol over det system, der kører Oracle Coherence. Det betyder konkret:
- Fortrolighed (C): Angriberen kan læse alle data på systemet, herunder kundedata, forretningshemmeligheder og adgangskoder.
- Integritet (I): Angriberen kan ændre eller slette data og konfigurationer.
- Tilgængelighed (A): Angriberen kan lukke systemet ned og forhindre, at det fungerer normalt.
En vellykket angreb kan danne springbræt til resten af dit netværk og give adgang til andre systemer i virksomheden.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.8 ud af 10 (Kritisk) efter den internationale CVSS-skala. Det er næsten den højeste score, man kan opnå. Tre faktorer gør den særligt farlig:
- Den kan udnyttes over internettet uden forudgående adgang eller login.
- Den kræver ingen interaktion fra brugere i din virksomhed.
- Den giver angriberen total kontrol – ikke blot delvis adgang.
Kombinationen af lav angrebskompleksitet og maksimal skadevirkning placerer denne sårbarhed i den absolutte topkategori.
Hvad gør jeg nu?
Handl hurtigt. Følg disse trin for at beskytte din virksomhed:
- Find ud af om du er ramt: Kontakt din IT-leverandør eller interne IT-afdeling og spørg om I bruger Oracle Coherence version 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 eller 15.1.1.0.0.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update (CPU). Sørg for at opdateringen installeres hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis en patch ikke kan installeres med det samme, så begræns adgangen til Oracle Coherence-servere fra eksterne netværk via firewall (netværksmur) som en midlertidig foranstaltning.
- Overvåg for mistænkelig aktivitet: Gennemgå logfiler (registreringer af systemhændelser) for usædvanlig aktivitet, særligt ukendte forbindelser til dine applikationsservere.
- Informér relevante parter: Hvis I behandler persondata, og der er mistanke om brud, kan I have pligt til at anmelde det til Datatilsynet inden for 72 timer.
Patch straks — kritisk prioritet
Med en CVSS-score på 9.8 og ingen krav til hverken login eller brugerinteraktion bør denne sårbarhed behandles som en akut hændelse. Vi anbefaler, at du kontakter din IT-leverandør i dag og beder om en plan for at installere Oracles seneste Critical Patch Update. Kan opdateringen ikke implementeres med det samme, bør adgangen til det berørte system afskæres fra internettet som en midlertidig løsning. Vent ikke — angribere scanner aktivt efter sårbare systemer.
Tidslinje
Konkrete eksempler
Direkte overtagelse via HTTP-forespørgsel
En angriber sender en særligt udformet HTTP-forespørgsel (en besked over internettet) direkte til jeres Oracle Coherence-server. Fordi fejlen sidder i et tredjepartsbibliotek der håndterer disse forespørgsler, kan angriberen eksekvere (køre) sin egen kode på serveren uden at have brugernavn eller adgangskode. Resultatet er fuld kontrol over serveren og alle data på den.
Springbræt til resten af netværket
En angriber overtager Oracle Coherence-serveren og bruger den som base til at angribe andre systemer inde i virksomhedens netværk — f.eks. en database med kundeoplysninger eller et regnskabssystem. Fordi angrebet sker indefra netværket, er mange interne systemer mindre beskyttede og lettere at kompromittere videre.
Ransomware-installation
Efter at have opnået fuld adgang via sårbarheden installerer angriberen ransomware (afpresningssoftware der krypterer jeres data) på serveren og eventuelle tilknyttede systemer. Virksomheden mister adgang til egne data og modtager krav om løsesum. Denne type angreb er en af de mest udbredte konsekvenser af kritiske netværkssårbarheder som denne.
Ofte stillede spørgsmål
Hvad er Oracle Coherence, og bruger vi det?
Oracle Coherence er et softwareprodukt der bruges til hurtigt at gemme og dele data på tværs af flere servere i større virksomhedssystemer. Det er typisk en del af Oracle Fusion Middleware, som er en platform mange virksomheder bruger til at drive forretningskritiske applikationer. Spørg din IT-leverandør, om I har Oracle Fusion Middleware installeret — det er den hurtigste måde at finde ud af det på.
Skal vi stoppe med at bruge systemet med det samme?
Ikke nødvendigvis, men I bør handle hurtigt. Første skridt er at installere sikkerhedsopdateringen fra Oracle. Hvis det ikke er muligt inden for kort tid, bør I overveje at blokere ekstern adgang til det berørte system via jeres firewall, indtil opdateringen er på plads. En total nedlukning er sjældent nødvendig, men en vurdering af risikoen i netop jeres situation kræver kendskab til, hvordan systemet er konfigureret.
Er der tegn på at vi allerede er blevet angrebet?
Det er ikke muligt at sige med sikkerhed uden en konkret gennemgang af jeres systemer. Bed din IT-afdeling eller leverandør om at gennemgå logfiler fra servere der kører Oracle Coherence for usædvanlige forbindelser eller aktiviteter — særligt fra IP-adresser udenfor jeres normale netværk. Reagér straks, hvis der opdages noget mistænkeligt.
Hvad er Oracles Critical Patch Update (CPU)?
Oracle udgiver jævnligt samlede sikkerhedsopdateringer kaldet Critical Patch Updates (CPU). De indeholder rettelser til kendte sårbarheder på tværs af Oracles produkter. Du finder den relevante opdatering på Oracles officielle supportside (support.oracle.com). Din IT-leverandør kan hjælpe med at identificere og installere den korrekte patch til jeres version.
Har vi pligt til at anmelde et eventuelt databrud?
Hvis I er blevet angrebet og der er adgang til personoplysninger (f.eks. kunde- eller medarbejderdata), kan I have pligt til at anmelde bruddet til Datatilsynet inden for 72 timer, jf. GDPR. Er I usikre, så kontakt en juridisk rådgiver eller Datatilsynet direkte. Det er bedre at anmelde unødigt end at undlade en lovpligtig anmeldelse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
