CVE-2026-35310: Kritisk sårbarhed i Oracle Coherence
Kritisk sårbarhed i Oracle Coherence giver hackere fuld kontrol via internettet uden login – opdater straks.
Hvad er det?
Oracle Coherence er en del af Oracle Fusion Middleware – software der bruges til at håndtere og dele data hurtigt på tværs af servere i større it-systemer. CVE-2026-35310 er en kritisk sårbarhed i kernekomponenten af dette produkt. Fejlen gør det muligt for en angriber at overtage hele Oracle Coherence-installationen uden at have et brugernavn eller adgangskode – blot ved at sende HTTP-forespørgsler (normale webhenvendelser) over internettet. Sårbarheden kræver ingen hjælp fra brugere og er nem at udnytte, hvilket gør den særligt farlig.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører én af følgende versioner af Oracle Coherence som del af Oracle Fusion Middleware:
- Version 12.2.1.4.0
- Version 14.1.1.0.0
- Version 14.1.2.0.0
- Version 15.1.1.0.0
Oracle Coherence bruges typisk i mellemstore til store it-miljøer, bl.a. i forbindelse med ERP-systemer (forretningssystemer), webapplikationer og datadrevne platforme. Hvis din virksomhed bruger Oracle Fusion Middleware, bør du undersøge, om Coherence er en del af jeres opsætning.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan overtage hele Oracle Coherence-serveren. Det betyder i praksis:
- Fortrolighed (C): Angriberen kan læse alle data, der behandles eller opbevares i systemet – herunder forretningskritiske oplysninger og persondata.
- Integritet (I): Angriberen kan ændre eller slette data, hvilket kan føre til fejlbeslutninger eller tab af vigtige informationer.
- Tilgængelighed (A): Systemet kan lukkes ned eller gøres utilgængeligt, hvilket kan lamme forretningskritiske processer.
Et vellykket angreb kan desuden bruges som springbræt til at kompromittere andre systemer i samme netværk.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.8 ud af 10 – Kritisk. Det er den næsthøjeste mulige score og afspejler, at:
- Angrebet kan udføres over internettet (netværksadgang).
- Det kræver ingen særlige tekniske forudsætninger (lav kompleksitet).
- Angriberen behøver ingen login-oplysninger (ingen privilegier).
- Der kræves ingen handling fra en bruger for at udløse angrebet.
- Konsekvenserne er fulde på alle tre sikkerhedsdimensioner: fortrolighed, integritet og tilgængelighed.
Kort sagt: enhver med internetadgang kan potentielt overtage et sårbart system. Dette er en sårbarhed, der kræver øjeblikkelig handling.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Identificér om I bruger Oracle Coherence: Kontakt jeres it-ansvarlige eller leverandør og spørg, om Oracle Fusion Middleware – herunder Coherence – er en del af jeres systemer.
- Tjek versionen: Undersøg om I kører en af de berørte versioner (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 eller 15.1.1.0.0).
- Installer patch fra Oracle: Følg Oracles officielle Critical Patch Update (CPU) og opdater til en sikker version. Tjek Oracles support-portal for den nyeste vejledning.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan opdatere med det samme, så bloker ekstern HTTP-adgang til Coherence-servere via firewall (en digital mur der kontrollerer netværkstrafik), indtil patchen er installeret.
- Overvåg for mistænkelig aktivitet: Gennemgå logfiler (systemregistreringer) for usædvanlige aktiviteter på de berørte servere, særligt i perioden op til og efter offentliggørelsen.
- Orientér jeres databehandleraftaler: Hvis persondata kan være berørt, vurdér om I har pligt til at anmelde et potentielt databrud til Datatilsynet inden for 72 timer.
Opdater inden for 24-48 timer
Med en CVSS-score på 9.8 og et angrebsmønster der ikke kræver login eller brugerinteraktion, er dette en sårbarhed du ikke kan tillade dig at vente med at håndtere. Vi anbefaler, at du allerede i dag afklarer med din it-leverandør eller interne it-afdeling, om I er berørt. Installer Oracles patch så hurtigt som muligt og begræns i mellemtiden adgangen til de berørte servere fra internettet. Har du brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Direkte serverovertagelse via HTTP
En angriber scanner internettet for servere, der kører Oracle Coherence på standardporte. Når en sårbar server identificeres, sender angriberen en særligt udformet HTTP-forespørgsel, der udnytter fejlen i kernekomponenten. Uden at have et brugernavn eller adgangskode opnår angriberen fuld kontrol over serveren og kan installere ondsindet software, eksfiltrere data eller lukke systemet ned.
Databrud med kunderdata og GDPR-konsekvenser
En virksomhed bruger Oracle Fusion Middleware som fundament for sit CRM-system (kundestyringssystem). En angriber udnytter CVE-2026-35310 til at tilgå Coherence-serveren og trækker alle kundeoplysninger ud – navne, adresser og betalingsinformation. Virksomheden opdager bruddet tre dage senere og er nu forpligtet til at anmelde det til Datatilsynet, orientere de berørte kunder og risikerer en GDPR-bøde.
Ransomware-angreb via kompromitteret middleware
En kriminell gruppe bruger den kompromitterede Oracle Coherence-server som springbræt ind i virksomhedens interne netværk. Herfra spreder de ransomware (software der krypterer filer og kræver løsepenge) til øvrige servere og arbejdsstationer. Virksomhedens drift lammes fuldstændigt, og de stilles over for et krav om løsesum for at få adgang til deres egne data igen.
Ofte stillede spørgsmål
Bruger vi Oracle Coherence – det ved jeg ikke?
Oracle Coherence leveres ofte som en del af Oracle Fusion Middleware, som igen indgår i produkter som Oracle WebLogic Server og diverse Oracle-applikationspakker. Bed din it-leverandør eller interne it-ansvarlige om at tjekke, om Coherence er installeret i jeres miljø. Det kan typisk ses i jeres softwareoversigt eller licensliste fra Oracle.
Er vi i fare, selvom vores systemer er bag en firewall?
Det afhænger af, hvordan jeres netværk er konfigureret. Hvis Coherence-serveren er tilgængelig fra internettet – direkte eller indirekte – er I potentielt sårbare. Selv interne systemer kan være i risiko, hvis en angriber først har fået fodfæste i jeres netværk på anden vis. Det er derfor vigtigt at tjekke adgangsstyringen til de berørte servere uanset hvad.
Hvad sker der, hvis vi ikke opdaterer?
En ubeskyttet server kan overtages fuldstændigt af en angriber. Det kan betyde tyveri af forretningsdata og personoplysninger, manipulation eller sletning af data samt nedbrud af kritiske systemer. Der kan også opstå bødeansvar under GDPR (persondataforordningen), hvis persondata er kompromitteret, og I ikke reagerer rettidigt.
Kan vi selv installere patchen, eller har vi brug for hjælp?
Opdatering af Oracle Fusion Middleware kræver teknisk erfaring og bør planlægges omhyggeligt for at undgå driftsforstyrrelser. De fleste SMV’er vil have gavn af at involvere deres it-leverandør eller en ekstern konsulent. Er I i tvivl, er du velkommen til at kontakte os – vi kan hjælpe med at vurdere jeres eksponering og planlægge opdateringen.
Skal vi anmelde det til Datatilsynet?
Kun hvis I har grund til at tro, at persondata faktisk er blevet kompromitteret. Hvis I opdager sikkerhedsbruddet, inden en angriber har fået adgang, er der ikke nødvendigvis anmeldelsespligt. Men oplever I tegn på uautoriseret adgang – fx mistænkelige logfiler – skal I vurdere situationen inden for 72 timer og eventuelt anmelde det til Datatilsynet. Vi anbefaler at konsultere en juridisk rådgiver ved tvivl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Core). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
