CVE-2026-46779: Kritisk sårbarhed i Oracle WebCenter
Kritisk sårbarhed i Oracle WebCenter Enterprise Capture giver angribere fuld kontrol over systemet via netværket.
Hvad er det?
Oracle WebCenter Enterprise Capture er et system til digital dokumenthåndtering og scanning, der bruges til at indsamle og behandle dokumenter i virksomheder. Sårbarheden findes i Client Bundle-komponenten og påvirker versionerne 12.2.1.4.0 og 14.1.2.0.0.
En angriber med blot en almindelig brugerkonto kan udnytte sårbarheden over netværket via en protokol kaldet T3 (en kommunikationsprotokol brugt i Oracle-systemer). Der kræves ingen særlig teknisk snilde eller hjælp fra andre brugere. Et vellykket angreb giver fuld kontrol over systemet — og kan desuden brede sig til andre tilknyttede systemer.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Enterprise Capture version 12.2.1.4.0 eller 14.1.2.0.0. Det drejer sig typisk om virksomheder, der anvender Oracle Fusion Middleware til dokumenthåndtering, arkivering eller scanning — for eksempel inden for finans, forsikring, sundhed eller offentlig administration. Hvis dit system er tilgængeligt fra internettet eller fra et internt netværk med mange brugere, er risikoen særligt høj.
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber overtage hele Oracle WebCenter Enterprise Capture-installationen. Det betyder i praksis:
- Fuld adgang til alle dokumenter og data i systemet — herunder potentielt fortrolige forretningsdokumenter, personoplysninger og kontrakter.
- Manipulation eller sletning af data — angriberen kan ændre eller ødelægge indhold uden at efterlade spor.
- Systemet lægges ned — tjenesten kan gøres utilgængelig for hele organisationen.
- Spredning til andre systemer — fordi angrebet kan have en såkaldt scope change-effekt, kan det brede sig til andre Oracle-produkter og systemer koblet på samme infrastruktur.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.9 ud af 10, hvilket placerer den i kategorien kritisk. Det er næsten den højest mulige score. Kombinationen af lav angrebskompleksitet, netværksadgang, minimal krav til rettigheder og potentiel spredning til andre systemer gør dette til en sårbarhed, der skal håndteres med det samme. Der kræves ikke fysisk adgang eller avancerede ressourcer — en angriber med en almindelig brugerkonto er nok.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din virksomhed:
- Identificér om I bruger Oracle WebCenter Enterprise Capture. Spørg jeres IT-ansvarlige eller leverandør, om produktet er installeret, og hvilken version der kører.
- Installer Oracles sikkerhedsopdatering. Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Log ind på Oracle Support og hent den relevante opdatering til jeres version.
- Begræns netværksadgang til T3-protokollen. Hvis opdatering ikke kan ske øjeblikkeligt, bør jeres firewall konfigureres til at blokere eller begrænse adgang til T3-porten (typisk port 7001/7002) fra ukendte netværk.
- Gennemgå brugerkonti med adgang til systemet. Deaktivér alle konti, der ikke aktivt har brug for adgang, og tjek om der er oprettet ukendte brugerkonti.
- Overvåg systemet for mistænkelig aktivitet. Hold øje med usædvanlige logins, dataoverførsler eller ændringer i dokumenter.
- Kontakt jeres IT-leverandør eller Auroa hvis I er usikre på processen eller har brug for hjælp til at gennemføre opdateringen sikkert.
Opdatér inden for 24-72 timer
Vi anbefaler, at I behandler denne sårbarhed som en akut hændelse og prioriterer patching over alt andet planlagt vedligehold denne uge. Hvis jeres Oracle WebCenter Enterprise Capture-system er eksponeret mod internettet eller delt netværk, bør adgangen begrænses øjeblikkeligt, mens opdateringen forberedes. Har I ikke intern kapacitet til at håndtere dette, er I velkomne til at kontakte Auroa — vi hjælper med at vurdere jeres eksponering og gennemføre en sikker opdatering.
Tidslinje
Konkrete eksempler
Intern medarbejder eskalerer adgang
En medarbejder med en normal brugerkonto i Oracle WebCenter Enterprise Capture sender en specialudformet pakke via T3-protokollen til serveren. Uden behov for administratorrettigheder opnår medarbejderen fuld kontrol over systemet og kan læse, ændre eller slette alle dokumenter — herunder fortrolige kontrakter og personoplysninger.
Angriber via kompromitteret medarbejderkonto
En angriber har via en phishing-mail fået fat i en medarbejders loginoplysninger til virksomhedens netværk. Med disse oplysninger logger angriberen ind og udnytter sårbarheden til at overtage Oracle WebCenter Enterprise Capture-serveren. Derfra bevæger angriberen sig videre til andre tilknyttede Oracle-systemer og installerer ransomware (afpresningssoftware), der krypterer virksomhedens dokumenter.
Ekstern angriber via eksponeret T3-port
Virksomheden har ved en fejl åbnet T3-porten (port 7001) mod internettet i forbindelse med en opdatering af firewall-regler. En ekstern angriber scanner netværket, identificerer den åbne port og udnytter sårbarheden med et offentligt tilgængeligt angrebsværktøj. På få minutter har angriberen fuld adgang til systemet og begynder at eksfiltrere (stjæle) følsomme dokumenter.
Ofte stillede spørgsmål
Skal vi bekymre os, hvis vores system ikke er tilgængeligt fra internettet?
Ja, delvist. Sårbarheden kan udnyttes af enhver bruger med netværksadgang — det inkluderer medarbejdere på jeres interne netværk. En angriber, der allerede har fået fodfæste internt (fx via phishing), kan bruge denne sårbarhed til at eskalere angrebet markant. Opdatering anbefales uanset om systemet er internt eller eksternt tilgængeligt.
Hvad er T3-protokollen, og kan vi bare blokere den?
T3 er en kommunikationsprotokol specifikt udviklet til Oracle WebLogic-baserede systemer, som Oracle WebCenter Enterprise Capture bygger på. Den bruges til intern kommunikation mellem Oracle-komponenter. Det er muligt at blokere T3-adgang fra eksterne netværk via firewall-regler, men det kan påvirke systemets funktionalitet, hvis andre Oracle-komponenter kommunikerer via T3. Blokeringen bør ses som en midlertidig foranstaltning, mens patchen installeres.
Hvad betyder det, at angrebet kan sprede sig til andre produkter?
I sikkerhedstermer kaldes dette en ‘scope change’. Det betyder, at et vellykket angreb ikke blot kompromitterer Oracle WebCenter Enterprise Capture, men potentielt også andre systemer og tjenester, der kører på den samme server eller er tæt integreret med det angrebne system. Har I andre Oracle-produkter installeret på samme infrastruktur, kan de også blive påvirket.
Hvor finder vi Oracles sikkerhedsopdatering?
Opdateringen er udgivet som en del af Oracles Critical Patch Update (CPU). Den kan findes og hentes via Oracle Support (support.oracle.com) under sektionen ‘Security Alerts’. I skal bruge jeres Oracle-supportaftale for at få adgang. Har I ikke en aktiv supportaftale, bør I kontakte jeres Oracle-forhandler eller en ekstern IT-partner hurtigst muligt.
Kan vi opdage om vi allerede er blevet angrebet?
Det kan være svært at opdage efterfølgende, men I bør gennemgå systemlogs for usædvanlige loginmønstre, ukendte brugerkonti, uventede konfigurationsændringer eller store dataudtræk. Kontakt en sikkerhedsekspert, hvis I er i tvivl — jo hurtigere en eventuel kompromittering opdages, desto mindre er skaden.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Enterprise Capture product of Oracle Fusion Middleware (component: Client Bundle). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via T3 to compromise Oracle WebCenter Enterprise Capture. While the vulnerability is in Oracle WebCenter Enterprise Capture, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Enterprise Capture. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
