CVE-2026-46767: Kritisk fejl i Oracle WebCenter Portal
Kritisk sårbarhed i Oracle WebCenter Portal giver angribere med blot en almindelig brugerkonto fuld kontrol over systemet.
Hvad er det?
CVE-2026-46767 er en kritisk sårbarhed i Oracle WebCenter Portal, nærmere bestemt i komponenten kaldet Composer (det værktøj, der bruges til at bygge og tilpasse portalsider). Sårbarheden gør det muligt for en angriber, der allerede har en almindelig brugerkonto i systemet, at sende særligt udformede forespørgsler via internettet og dermed overtage hele portalen. Der kræves ingen teknisk snilde, ingen hjælp fra andre brugere og ingen særlige rettigheder — kun en gyldig, lav-privilegeret konto. Berørte versioner er 12.2.1.4.0 og 14.1.2.0.0.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Portal som intranet, ekstranet eller kundevendt webportal. Det er typisk mellemstore til større virksomheder og offentlige institutioner, der bruger Oracle Fusion Middleware-platformen til at samle forretningsapplikationer og indhold ét sted. Har du (eller din IT-leverandør) installeret Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0, er du direkte i risikogruppen.
Hvad kan ske?
En angriber med selv den mindste brugerrettighed i systemet kan udnytte fejlen til at overtage Oracle WebCenter Portal fuldstændigt. Det betyder i praksis:
- Datatyveri: Alle fortrolige data i portalen — dokumenter, brugeroplysninger, forretningsinformation — kan blive kopieret og stjålet.
- Manipulation: Angriberen kan ændre indhold, oprette falske sider eller slette data uden spor.
- Nedbrud: Hele portalen kan lægges ned, så medarbejdere og kunder mister adgang.
- Spredning: Fordi fejlen har såkaldt ‘scope change’ (rækkeviddeændring), kan angrebet sprede sig til andre systemer, der er koblet til portalen.
Hvor alvorligt er det?
CVSS-scoren er 9.9 ud af 10 — Kritisk. Det er næsten den højest mulige score. Tre faktorer gør denne sårbarhed særligt farlig:
- Let at udnytte: Lav angrebskompleksitet — enhver med basal teknisk viden kan forsøge det.
- Ingen særlig adgang krævet: En helt almindelig brugerkonto er nok.
- Fuld konsekvens: Fortrolighed, integritet og tilgængelighed er alle maksimalt påvirket.
- Rækkeviddeændring: Angrebet kan hoppe videre til tilknyttede systemer og forstærke skaden markant.
Hvad gør jeg nu?
Du skal handle hurtigt. Følg disse trin i prioriteret rækkefølge:
- Find ud af, om I er berørt: Spørg din IT-ansvarlige eller Oracle-leverandør, om I kører Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0.
- Begræns adgangen midlertidigt: Hvis portalen ikke er forretningskritisk her og nu, så overvej at begrænse adgang til den fra internettet, indtil patch er installeret.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en rettelse som del af deres Critical Patch Update (CPU). Sørg for at din IT-leverandør installerer den hurtigst muligt.
- Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet i perioden op til og efter offentliggørelsen den 17. juni 2026.
- Orienter ledelsen: Sørg for at relevante beslutningstagere er bekendt med risikoen og tidsplanen for udbedring.
Patch straks — kritisk alvorlighed
Med en CVSS-score på 9.9 og en sårbarhed, der kan udnyttes af enhver bruger med netværksadgang, anbefaler vi, at du behandler denne fejl som en brandøvelse — dvs. med øjeblikkelig handling. Kontakt din Oracle-leverandør eller IT-partner i dag og få bekræftet, om I er berørt. Vent ikke på det næste planlagte vedligeholdelsesvindue — denne sårbarhed er for alvorlig til det.
Tidslinje
Konkrete eksempler
Den utilfredse medarbejder
En medarbejder med en helt ordinær brugerkonto i virksomhedens Oracle WebCenter Portal udnytter sårbarheden i Composer-komponenten til at eskalere sine rettigheder. Han overtager portalen, downloader alle interne dokumenter og sletter kritiske konfigurationer, inden han forlader virksomheden. Skaden opdages først dage senere.
Ekstern angriber via phishing
En angriber sender en phishing-mail til en medarbejder og stjæler vedkommendes login til Oracle WebCenter Portal. Med den kompromitterede konto udnytter angriberen CVE-2026-46767 til at overtage portalen og bevæger sig videre til de tilknyttede Oracle-databaser via scope change-effekten. Virksomhedens kundedata eksfiltreres og sælges på det mørke net.
Ransomware-angreb via portal
En organiseret cyberkriminel gruppe scanner internettet for sårbare Oracle WebCenter Portal-installationer. De finder en ubeskyttet installation, opretter en gratis gæstekonto og udnytter sårbarheden til at installere ransomware (software der krypterer jeres filer og kræver løsepenge). Portalen og de systemer den er koblet til, låses ned, og virksomheden modtager et krav om løsesum i kryptovaluta.
Ofte stillede spørgsmål
Behøver angriberen fysisk adgang til vores systemer?
Nej. Angrebet sker via HTTP over netværket — dvs. fra internettet eller jeres interne netværk. Angriberen behøver slet ikke være til stede fysisk og kan befinde sig hvor som helst i verden.
Vi har kun interne brugere i portalen — er vi stadig i fare?
Ja, desværre. Selv en intern, betroet medarbejder med en helt almindelig brugerkonto kan udnytte sårbarheden — bevidst eller via en phishing-mail, der narrer vedkommende til at udføre ondsindede handlinger. Interne angreb eller kompromitterede interne konti er en reel trussel.
Hvad er en 'scope change', og hvorfor er det farligt?
Scope change (rækkeviddeændring) betyder, at et vellykket angreb ikke stopper ved det angrebne system. Angriberen kan potentielt bevæge sig videre til andre systemer og applikationer, der er forbundet med Oracle WebCenter Portal — for eksempel databaser, ERP-systemer eller HR-løsninger. Det gør skadeomfanget langt større end ved en normal sårbarhed.
Vi har ikke selv Oracle-kompetencer internt — hvem skal vi kontakte?
Kontakt den leverandør eller IT-partner, der har implementeret og drifter jeres Oracle Fusion Middleware-løsning. Har I en supportaftale med Oracle direkte, kan I også gå til Oracle Support. Oplys dem om CVE-2026-46767 og bed dem bekræfte, om I er berørt, og hvornår patchen kan installeres.
Er der noget, vi kan gøre, mens vi venter på patchen?
Ja. Som midlertidig foranstaltning (workaround) kan I overveje at begrænse netværksadgangen til portalen, fx ved at sætte en firewall-regel, der kun tillader adgang fra kendte, betroede IP-adresser. I bør også skærpe overvågningen af systemlogge. Disse tiltag reducerer risikoen men fjerner den ikke — patch er den eneste fulde løsning.
Kan vi se, om vi allerede er blevet angrebet?
Det er muligt at lede efter spor i systemloggene. Usædvanlige brugersessioner, uventede administrative handlinger eller ændringer i portalens indhold og konfiguration kan være tegn på kompromittering. Bed din IT-ansvarlige gennemgå logfiler fra perioden efter den 17. juni 2026. Hvis I opdager mistænkelig aktivitet, bør I kontakte en cybersikkerhedsekspert med det samme.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Composer). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
