CVE-2026-35320: Kritisk sårbarhed i Oracle WebCenter Content
Kritisk sårbarhed i Oracle WebCenter Content kan give angribere fuld kontrol over dit indholdssystem via netværket.
Hvad er det?
CVE-2026-35320 er en kritisk sårbarhed i Oracle WebCenter Content, som er en platform til håndtering af dokumenter og digitalt indhold i virksomheder. Sårbarheden ligger i selve Content Server-komponenten og gør det muligt for en angriber at angribe systemet udefra via internettet (HTTP) — uden at have et login eller kræve, at en bruger gør noget. Angrebet er teknisk komplekst at udføre, men hvis det lykkes, kan angriberen overtage hele systemet. Derudover kan et vellykket angreb også påvirke andre systemer, der hænger sammen med WebCenter Content.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle WebCenter Content i version 12.2.1.4.0 eller 14.1.2.0.0. Oracle WebCenter Content bruges typisk i mellemstore og større organisationer til dokumentstyring, arkivering og indholdshåndtering — ofte som del af Oracle Fusion Middleware-platformen. Hvis din virksomhed bruger disse versioner og har systemet tilgængeligt via et netværk, er du potentielt i risikogruppen.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Fuld overtagelse af Oracle WebCenter Content-serveren — angriberen får komplet kontrol.
- Datalæk — alle dokumenter og filer gemt i systemet kan tilgås og stjæles.
- Manipulation af data — indhold kan ændres eller slettes uden varsel.
- Systemnedbrud — tjenesten kan gøres utilgængelig for dine medarbejdere.
- Spredning til andre systemer — på grund af scope change kan angrebet brede sig til andre dele af din IT-infrastruktur, der er koblet til WebCenter Content.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 9.0 ud af 10 — kritisk. Det er den næsthøjeste mulige klassifikation. Særligt bekymrende er det, at angrebet kan udføres uden login og uden brugerinteraktion, og at det kan ramme systemer ud over selve WebCenter Content (såkaldt scope change). Det eneste, der reducerer risikoen en smule, er, at angrebet er teknisk komplekst at gennemføre (høj attack complexity). Det betyder dog ikke, at du kan vente — erfarne angribere og organiserede hackergrupper har ressourcerne til at gennemføre det.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, hvis du bruger Oracle WebCenter Content:
- Tjek dine versioner: Find ud af, om din virksomhed kører version 12.2.1.4.0 eller 14.1.2.0.0 af Oracle WebCenter Content.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver patches via deres Critical Patch Update (CPU)-program. Tjek Oracles officielle sikkerhedsbulletin og installer den relevante opdatering straks.
- Begræns netværksadgang: Hvis du ikke kan patche med det samme, så begræns adgangen til WebCenter Content-serveren via firewall, så den kun er tilgængelig fra kendte og betroede IP-adresser.
- Overvåg systemet: Hold øje med usædvanlig aktivitet på serveren — fx ukendte login-forsøg, uventede filændringer eller høj netværkstrafik.
- Kontakt din IT-leverandør eller konsulent: Hvis du er i tvivl om, hvad du skal gøre, så kontakt din IT-ansvarlige eller en sikkerhedskonsulent for hjælp til at vurdere og afhjælpe risikoen.
Patch straks — inden for 24-72 timer
Auroa anbefaler, at du behandler denne sårbarhed som en akut prioritet. Installer Oracles officielle sikkerhedspatch så hurtigt som muligt. Hvis en øjeblikkelig opdatering ikke er mulig, skal du som minimum isolere WebCenter Content-serveren fra det åbne internet via firewall-regler, indtil patchen er på plads. Kontakt os, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Angriber overtager indholdserver og stjæler dokumenter
En angriber identificerer, at din virksomheds Oracle WebCenter Content-server er tilgængelig via internettet. Ved hjælp af specialudviklet HTTP-trafik udnytter angriberen sårbarheden og opnår fuld administratoradgang til serveren. Derefter eksporterer angriberen alle lagrede dokumenter — kontrakter, personalefiler og forretningshemmeligheder — til en ekstern server, uden at din virksomhed opdager det.
Ransomware-angreb via kompromitteret WebCenter Content
En hackergruppe udnytter sårbarheden til at få fodfæste på din WebCenter Content-server og bruger den som springbræt ind i resten af dit netværk (scope change). Herfra installerer de ransomware på flere servere, krypterer jeres data og kræver løsepenge for at gendanne adgangen. Virksomheden mister adgang til kritiske dokumenter og systemer i flere dage.
Manipulation af offentliggjort indhold
Hvis din virksomhed bruger Oracle WebCenter Content til at publicere indhold på et eksternt websted eller en portal, kan en angriber udnytte sårbarheden til at ændre det udgivne materiale. Det kan for eksempel betyde, at falske dokumenter eller vildledende informationer bliver vist for dine kunder eller samarbejdspartnere, hvilket kan skade din virksomheds omdømme og troværdighed.
Ofte stillede spørgsmål
Bruger vi Oracle WebCenter Content — hvordan finder vi ud af det?
Oracle WebCenter Content er et dokumenthåndteringssystem, der ofte er installeret som del af Oracle Fusion Middleware. Spørg din IT-ansvarlige eller -leverandør, om I har dette system kørende. Det vil typisk fremgå af jeres software-oversigt eller serveropsætning.
Er vi i fare, selvom vores system ikke er direkte tilgængeligt fra internettet?
Risikoen er størst, hvis systemet er tilgængeligt udefra. Men da sårbarheden kan sprede sig til andre tilkoblede systemer (scope change), bør du stadig patche, selvom serveren kun er tilgængelig internt. Interne netværk kan også kompromitteres via andre angrebsveje.
Hvad mener man med 'høj angrebskompleksitet', og betyder det, at vi er sikre?
Høj angrebskompleksitet (High Attack Complexity) betyder, at angrebet kræver særlige tekniske forudsætninger og ikke kan udføres helt automatisk. Det reducerer risikoen en smule, men det betyder ikke, at I er sikre. Velorganiserede hackere og statsstøttede aktører har ressourcerne til at gennemføre sådanne angreb.
Hvor finder vi Oracles officielle sikkerhedspatch?
Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU)-program. Besøg oracle.com/security-alerts og find den seneste CPU-bulletin, der omhandler Oracle Fusion Middleware og WebCenter Content. Din Oracle-supportaftale giver dig adgang til at downloade patches.
Kan vi bare vente og se, hvad der sker?
Det anbefaler vi ikke. Med en CVSS-score på 9.0 og mulighed for fuld systemovertagelse er risikoen for alvorlige konsekvenser høj. Jo længere du venter, jo større er sandsynligheden for, at angribere udvikler og anvender exploit-kode rettet mod denne sårbarhed.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. While the vulnerability is in Oracle WebCenter Content, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
