CVE-2026-35323: Kritisk fejl i Oracle WebCenter Content
Kritisk fejl i Oracle WebCenter Content giver angribere fuld kontrol over dit indholdssystem via internettet.
Hvad er det?
CVE-2026-35323 er en kritisk sikkerhedssårbarhed i Oracle WebCenter Content, som er et system til at styre og dele dokumenter og digitalt indhold i virksomheder. Fejlen gør det muligt for en angriber, der har en almindelig brugerkonto, at overtage hele systemet via internettet – uden at skulle gøre noget særligt kompliceret. Angrebet kræver ingen hjælp fra brugere og kan ske automatisk. Derudover kan et vellykket angreb sprede sig til andre it-systemer, som er koblet til WebCenter Content, hvilket gør skadeomfanget potentielt meget stort.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0. Typisk er det mellemstore og større virksomheder, offentlige institutioner eller virksomheder med Oracle Fusion Middleware som en del af deres it-infrastruktur. Hvis jeres system er tilgængeligt via netværket – særligt internettet – er I i direkte risikozonen.
Hvad kan ske?
Et vellykket angreb kan give angriberen fuld kontrol over Oracle WebCenter Content-serveren. Det betyder:
- Fortrolighed (Confidentiality): Angriberen kan læse alle dokumenter og data i systemet – herunder følsomme forretningsdokumenter, kontrakter og persondata.
- Integritet (Integrity): Angriberen kan ændre, slette eller manipulere indhold og data.
- Tilgængelighed (Availability): Systemet kan gøres utilgængeligt, hvilket lamme jeres arbejdsprocesser.
- Spredning: Angrebet kan brede sig til andre systemer, der er forbundet med WebCenter Content, og give angriberen fodfæste i en større del af jeres it-miljø.
Hvor alvorligt er det?
Denne sårbarhed scorer 9,9 ud af 10 på den internationale CVSS-skala (Common Vulnerability Scoring System), hvilket er ekstremt højt og klassificeres som Kritisk. Det skyldes en kombination af faktorer: angrebet kan ske over netværket, det er let at udføre, det kræver kun en lavprivilegeret konto (dvs. en helt almindelig bruger), og konsekvenserne er maksimale på alle tre parametre – fortrolighed, integritet og tilgængelighed. Hertil kommer, at angrebet kan ramme andre tilkoblede systemer. Der er meget få sårbarheder, der scorer højere end dette.
Hvad gør jeg nu?
Handl hurtigt. Her er de konkrete trin du bør tage nu:
- Find ud af om I er ramt: Spørg jeres it-ansvarlige eller leverandør, om I bruger Oracle WebCenter Content version 12.2.1.4.0 eller 14.1.2.0.0.
- Begræns adgang midlertidigt: Hvis systemet er tilgængeligt fra internettet, så overvej at lukke den adgang eller begrænse den til kendte IP-adresser, indtil en patch er installeret.
- Installér Oracles sikkerhedsopdatering: Oracle har udsendt en patch som del af deres Critical Patch Update. Sørg for, at jeres it-afdeling eller leverandør installerer denne opdatering hurtigst muligt.
- Gennemgå adgangslog: Bed jeres it-ansvarlige om at undersøge systemlogfiler for tegn på mistænkelig aktivitet – særligt fra brugere med netværksadgang.
- Underret relevante parter: Hvis I mistænker et brud, skal I overveje at underrette Datatilsynet (ved persondata) og jeres forsikringsselskab.
Patch straks – kritisk risiko
Med en CVSS-score på 9,9 og et angrebsmønster, der er enkelt at udføre for selv lavt privilegerede brugere, skal I behandle denne sårbarhed som en akut nødsituation. Installer Oracles patch øjeblikkeligt, og begræns netværksadgangen til systemet som en midlertidig foranstaltning. Kontakt os i Auroa, hvis I har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Angriber med gæstekonto overtager serveren
En angriber opretter eller kompromitterer en lavt privilegeret brugerkonto i Oracle WebCenter Content – fx en ekstern samarbejdspartner med adgang til et delt dokumentbibliotek. Via en særligt udformet HTTP-forespørgsel (en besked sendt til serveren) udnytter angriberen fejlen til at eskalere sine rettigheder og overtage hele serveren. Derfra kan angriberen hente alle dokumenter, plante skadelig kode eller slette data.
Ransomware-angreb via WebCenter Content
En kriminel gruppe scanner internettet for sårbare Oracle WebCenter Content-installationer. Når de finder en, bruger de en standard brugerkonto (måske købt på det mørke net eller gættet via et svagt password) til at udnytte sårbarheden. De installerer ransomware (afpresningssoftware), der krypterer alt indhold i systemet og kræver løsepenge for at give adgang tilbage. Fordi scope-change-faktoren er aktiv, spreder angrebet sig efterfølgende til tilknyttede Oracle-systemer.
Industrispionage via dokumentsystem
En konkurrent eller statslig aktør finder ud af, at din virksomhed bruger en sårbar version af Oracle WebCenter Content. De udnytter sårbarheden til stille og roligt at læse følsomme dokumenter – kontrakter, tilbud, strategiplaner og personaleoplysninger – over en længere periode uden at blive opdaget. Ingen alarm udløses, fordi adgangen sker via et legitimt-udseende brugerlogin.
Ofte stillede spørgsmål
Vi bruger Oracle, men er vi sikre på, at vi kører den ramte version?
Det kræver et hurtigt tjek af jeres systemer. Bed jeres it-ansvarlige eller Oracle-leverandør om at bekræfte, hvilken version af Oracle WebCenter Content I kører. De ramte versioner er 12.2.1.4.0 og 14.1.2.0.0. Kører I en anden version, er I ikke direkte ramt af netop denne sårbarhed – men generel opdatering anbefales altid.
Kan en angriber udnytte dette, hvis vores system kun er tilgængeligt internt?
Risikoen er markant lavere, hvis systemet kun er tilgængeligt på jeres interne netværk og ikke fra internettet. Men det er ikke risikofrit: Hvis en angriber først har fået adgang til jeres netværk – fx via phishing – kan de stadig udnytte sårbarheden. Patch bør stadig installeres hurtigst muligt.
Hvad er en 'scope change', og hvorfor er det farligt?
En ‘scope change’ (på dansk: ændret angrebsomfang) betyder, at et vellykket angreb ikke kun rammer det sårbare system, men kan sprede sig til andre systemer i samme it-miljø. I dette tilfælde kan en angriber, der overtager Oracle WebCenter Content, potentielt bevæge sig videre til andre Oracle Fusion Middleware-komponenter eller tilkoblede forretningssystemer.
Hvordan ved vi, om vi allerede er blevet angrebet?
Bed jeres it-afdeling om at gennemgå systemlogfiler for unormal aktivitet – herunder uventede logins, ændringer i indhold eller usædvanlig netværkstrafik til/fra WebCenter Content-serveren. Er I usikre på, hvordan I gør det, kan Auroa hjælpe med en hurtig gennemgang.
Koster det meget at installere patchen?
Selve patchen fra Oracle er gratis for kunder med aktiv supportaftale. Omkostningen er primært den arbejdstid, jeres it-folk eller leverandør bruger på at installere og teste opdateringen. Det er en investering, der er langt billigere end konsekvenserne af et databrud eller systemnedbrud.
Skal vi anmelde dette til Datatilsynet?
Kun hvis I har konstateret eller har begrundet mistanke om, at persondata faktisk er blevet kompromitteret. Selve eksistensen af en sårbarhed udløser ikke pligt til anmeldelse. Har I mistanke om et brud, skal I anmelde det til Datatilsynet inden for 72 timer efter opdagelsen. Kontakt Auroa eller en juridisk rådgiver, hvis I er i tvivl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Content. While the vulnerability is in Oracle WebCenter Content, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Content. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
