CVE-2026-46778: Kritisk fejl i Oracle WebCenter Capture
Kritisk fejl i Oracle WebCenter Enterprise Capture giver angribere fuld kontrol uden login – opdater straks.
Hvad er det?
CVE-2026-46778 er en kritisk sikkerhedsfejl i Oracle WebCenter Enterprise Capture, som er Oracles software til at håndtere og behandle dokumenter og billeder i virksomheder. Fejlen sidder i en del kaldet ‘Client Bundle’ og udnyttes via RMI (Remote Method Invocation – en teknisk kommunikationsmetode mellem programmer over netværket). En angriber kan uden at logge ind og uden nogen form for hjælp fra en bruger sende særlige kommandoer til systemet og overtage det fuldstændigt. Fejlen har fået den højest mulige alvorlighedsscore på 10 ud af 10.
Hvem rammer det?
Fejlen rammer virksomheder, der bruger Oracle WebCenter Enterprise Capture version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk organisationer, der automatiserer behandling af indgående dokumenter, fakturaer eller arkivmateriale – for eksempel i regnskab, HR eller offentlig forvaltning. Hvis din virksomhed bruger Oracle Fusion Middleware som en del af jeres IT-infrastruktur, bør du undersøge, om I har dette produkt installeret.
Hvad kan ske?
En angriber, der udnytter fejlen, kan overtage Oracle WebCenter Enterprise Capture-serveren helt. Det betyder:
- Alle dokumenter og filer i systemet kan læses og kopieres.
- Data kan ændres eller slettes – også uden at I opdager det.
- Systemet kan gøres utilgængeligt (nedbrud).
- Angrebet kan brede sig til andre systemer i jeres netværk, fordi sårbarheden har ‘scope change’ – altså at skaden ikke stopper ved ét system.
Hvor alvorligt er det?
Dette er maksimalt alvorligt. CVSS-scoren er 10.0 ud af 10, og alle tre skadetyper – fortrolighed, integritet og tilgængelighed – er vurderet til højeste niveau. Fejlen kræver ingen forudgående adgang, intet brugerklik og kan udnyttes direkte over internettet. Det betyder, at angrebstærsklen er ekstremt lav, og selv en relativt uerfaren angriber kan forsøge det. Derudover kan angrebet sprede sig videre til andre systemer, hvilket gør den potentielle skade endnu større.
Hvad gør jeg nu?
Handles det hurtigt, kan I begrænse risikoen markant. Her er hvad du bør gøre:
- Find ud af, om I bruger produktet: Spørg jeres IT-ansvarlige eller leverandør, om Oracle WebCenter Enterprise Capture (version 12.2.1.4.0 eller 14.1.2.0.0) er installeret i jeres miljø.
- Installer Oracles patch: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU). Sørg for at opdateringen til dette CVE bliver installeret hurtigst muligt.
- Begræns netværksadgang: Mens I venter på patchen – blokér adgang til RMI-porten (typisk port 1099) fra det åbne internet via jeres firewall, så kun nødvendige systemer kan kommunikere med serveren.
- Overvåg for mistænkelig aktivitet: Tjek logfiler for usædvanlig aktivitet på serveren, især forbindelser udefra til RMI-tjenesten.
- Kontakt jeres IT-leverandør: Har I ikke egne IT-kompetencer til dette, kontakt jeres leverandør eller en sikkerhedskonsulent med det samme.
Opdater inden for 24-72 timer
Med en CVSS-score på 10.0 og ingen krav om login eller brugerinteraktion er dette en fejl, du ikke kan tillade dig at vente med. Vi anbefaler, at du inden for de næste 24-72 timer verificerer, om I bruger det berørte produkt, og sætter patchning i gang øjeblikkeligt. Som midlertidig foranstaltning bør RMI-adgang begrænses via firewall. Kontakt os, hvis du har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Direkte serverovertagelse via åbent internet
En angriber scanner internettet for servere, der kører Oracle WebCenter Enterprise Capture med en åben RMI-port (typisk port 1099). Uden at have et brugernavn eller adgangskode sender angriberen ondsindede RMI-kommandoer til serveren og opnår fuld administratoradgang. Herefter kan angriberen installere ransomware, kopiere alle dokumenter eller bruge serveren til videre angreb.
Internt angreb efter initial kompromittering
En medarbejder åbner en phishing-mail og giver angriberen adgang til sin computer. Angriberen opdager, at virksomhedens dokumenthåndteringssystem kører Oracle WebCenter Enterprise Capture internt på netværket. Via RMI-forbindelsen overtager angriberen serveren og får adgang til alle virksomhedens indscannede fakturaer, kontrakter og HR-dokumenter – helt uden at nogen opdager det.
Spredning til andre systemer via kompromitteret server
Efter at have overtaget Oracle WebCenter Enterprise Capture-serveren bruger angriberen den som springbræt (‘scope change’) til at angribe tilknyttede Oracle Fusion Middleware-komponenter og virksomhedens database. Det, der startede som et angreb på dokumenthåndtering, udvikler sig til et fuldt datalæk, hvor kundedata, regnskaber og personoplysninger kompromitteres.
Ofte stillede spørgsmål
Hvad er RMI, og hvorfor er det farligt her?
RMI (Remote Method Invocation) er en teknologi, der lader programmer på forskellige computere kommunikere med hinanden over netværket. I dette tilfælde er RMI-kommunikationen i Oracle WebCenter Enterprise Capture ikke tilstrækkeligt sikret, så en angriber kan sende ondsindede kommandoer direkte til systemet uden at have et gyldigt login.
Er vi kun i fare, hvis vores server er tilgængelig fra internettet?
Ikke nødvendigvis. Risikoen er størst, hvis serveren er direkte tilgængelig fra internettet. Men selv interne systemer kan blive angrebet, hvis en angriber allerede har fået fodfæste ét sted i jeres netværk – for eksempel via et phishing-angreb. Det er derfor vigtigt at patche uanset hvad.
Hvordan ved jeg, om vi bruger de berørte versioner?
De berørte versioner er 12.2.1.4.0 og 14.1.2.0.0 af Oracle WebCenter Enterprise Capture. Jeres IT-ansvarlige eller Oracle-leverandør kan tjekke dette i systemets administrationskonsol eller ved at søge i installerede programmer på serveren. Oracle tilbyder også et gratis værktøj kaldet Oracle Enterprise Manager til at overblikke installerede produkter.
Hvad betyder det, at angrebet kan 'sprede sig til andre systemer'?
I CVSS-terminologi kaldes dette ‘scope change’. Det betyder, at en angriber, der kompromitterer Oracle WebCenter Enterprise Capture, potentielt kan bruge den server som springbræt til at angribe andre systemer i jeres netværk – for eksempel databaser, filservere eller andre forretningsapplikationer. Det gør fejlen ekstra farlig i komplekse IT-miljøer.
Kan jeg nøjes med en midlertidig løsning i stedet for at patche?
En firewall-regel, der blokerer adgang til RMI-tjenesten udefra, reducerer risikoen midlertidigt, men er ikke en permanent løsning. Den officielle sikkerhedspatch fra Oracle er den eneste måde at lukke hullet helt på. Brug firewall-reglen som en nødforanstaltning, mens I planlægger og udfører patchningen.
Hvornår udgav Oracle patchen?
Oracle udgiver sikkerhedsopdateringer samlet i deres Critical Patch Update (CPU)-cyklus. Da CVE’en blev offentliggjort den 17. juni 2026, er det forventeligt, at Oracles patch fulgte med eller kort efter offentliggørelsen. Tjek Oracles officielle sikkerhedsside (oracle.com/security-alerts) for den seneste patchstatus og vejledning til installation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Enterprise Capture product of Oracle Fusion Middleware (component: Client Bundle). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via RMI to compromise Oracle WebCenter Enterprise Capture. While the vulnerability is in Oracle WebCenter Enterprise Capture, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Enterprise Capture. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
