CVE-2026-46781
Kritisk

CVE-2026-46781: Kritisk fejl i Oracle WebCenter Capture

Kritisk sårbarhed i Oracle WebCenter Enterprise Capture giver angribere fuld kontrol uden login – patch straks.

CVSS Score
10
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch straks – maks. 24-72 timer

Hvad er det?

Oracle WebCenter Enterprise Capture er et dokumenthåndteringssystem fra Oracle, der bruges til at scanne, registrere og behandle dokumenter i virksomheder. CVE-2026-46781 er en kritisk sårbarhed i systemets klientpakke (Client Bundle), der kommunikerer via en protokol kaldet RMI (Remote Method Invocation – en måde for programmer at tale med hinanden over netværket). Fejlen gør det muligt for en angriber at få fuld kontrol over systemet uden at have et brugernavn eller kodeord. Angriberen behøver kun netværksadgang og ingen hjælp fra en bruger. Sårbarheden er vurderet til den højest mulige alvorlighedsgrad: CVSS 10.0.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Enterprise Capture i version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk mellemstore og større virksomheder inden for bank, forsikring, offentlig administration og sundhedssektoren, der anvender dette system til dokumenthåndtering og arkivering. Hvis din virksomhed bruger Oracle Fusion Middleware som platform, bør du undersøge, om I har WebCenter Enterprise Capture installeret.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan overtage hele Oracle WebCenter Enterprise Capture-systemet. Det betyder i praksis:

  • Fuld adgang til data: Angriberen kan læse og kopiere alle dokumenter og filer i systemet, herunder følsomme personoplysninger og forretningshemmeligheder.
  • Manipulation af data: Angriberen kan ændre, slette eller indsætte falske dokumenter og registreringer.
  • Systemnedbrud: Angriberen kan gøre systemet utilgængeligt for din virksomhed.
  • Spredning til andre systemer: Fordi sårbarheden har det, der kaldes et ‘scope change’, kan angrebet brede sig til andre Oracle-produkter og systemer i dit netværk.

Hvor alvorligt er det?

Dette er den højeste mulige alvorlighedsgrad – CVSS 10.0 (Kritisk). Alle tre sikkerhedsprincipper er i fare: fortrolighed, integritet og tilgængelighed. Angrebet kræver ingen forhåndsviden, intet login og ingen brugerinteraktion, og det kan udføres direkte over internettet. Derudover er der risiko for, at angrebet spreder sig til tilknyttede systemer. Der er ingen formildende faktorer i selve sårbarhedens natur – det er så alvorligt, som en sårbarhed kan blive.

Hvad gør jeg nu?

Hvis din virksomhed bruger Oracle WebCenter Enterprise Capture, skal du handle hurtigt. Følg disse trin:

  1. Identificér om I er berørt: Kontakt din IT-ansvarlige eller leverandør og find ud af, om I kører Oracle WebCenter Enterprise Capture version 12.2.1.4.0 eller 14.1.2.0.0.
  2. Begræns adgang straks: Hvis systemet er tilgængeligt fra internettet, bør du midlertidigt afskære ekstern adgang via firewall (en digital mur der kontrollerer netværkstrafik), indtil patchen er installeret.
  3. Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (sikkerhedsrettelse) som del af deres Critical Patch Update. Sørg for at din IT-ansvarlige installerer den hurtigst muligt.
  4. Gennemgå logfiler: Bed din IT-ansvarlige om at undersøge systemets logfiler for tegn på uautoriseret adgang, særligt via RMI-protokollen.
  5. Orienter relevante parter: Hvis der er behandlet personoplysninger i systemet, og I mistænker et brud, kan I have pligt til at underrette Datatilsynet inden for 72 timer.
Tidsfrist

Patch straks – maks. 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 10.0 og ingen tekniske forhindringer for en angriber anbefaler vi, at du behandler dette som en akut hændelse. Kontakt din IT-leverandør eller interne IT-afdeling i dag og sørg for, at Oracles sikkerhedsopdatering installeres inden for de næste 24-72 timer. Begræns i mellemtiden RMI-adgangen (port 1099 og lignende) i jeres firewall, så systemet ikke kan nås udefra. Hos Auroa hjælper vi gerne med at vurdere jeres eksponering og prioritere indsatsen.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle
Oracle offentliggør CVE-2026-46781 som del af deres Critical Patch Update. Sårbarheden tildeles den maksimale CVSS-score på 10.0.
17/06/2026
Patch frigivet af Oracle
Oracle frigiver samtidig med offentliggørelsen en sikkerhedsopdatering til de berørte versioner 12.2.1.4.0 og 14.1.2.0.0 via My Oracle Support.
18/06/2026
Tekniske detaljer tilgængelige offentligt
Med offentliggørelsen af CVE'en og den tilhørende CVSS-vektor er tekniske detaljer om angrebsmetoden tilgængelige, hvilket øger risikoen for, at angribere forsøger at udnytte sårbarheden.
20/06/2026
Forventet proof-of-concept aktivitet
Baseret på tidligere erfaring med CVSS 10.0-sårbarheder i Oracle-produkter er det realistisk at forvente, at sikkerhedsforskere og angribere inden for få dage publicerer proof-of-concept kode, der demonstrerer udnyttelsen.

Konkrete eksempler

Direkte overtagelse via åbent netværk

En angriber scanner internettet for servere med åbne RMI-porte (typisk port 1099) og identificerer en virksomheds Oracle WebCenter Enterprise Capture-installation. Via et automatiseret angrebsværktøj sender angriberen en ondsindet forespørgsel til systemet, der udnytter den ubeskyttede RMI-grænseflade. Inden for minutter har angriberen fuld administratoradgang til systemet og kan downloade alle scannede dokumenter, herunder kontrakter og personalefiler.

Angreb fra internt kompromitteret netværk

En medarbejder modtager en phishing-mail og klikker på et ondsindet link, der installerer malware (skadelig software) på hans computer. Angriberen bag malwaren bruger nu medarbejderens computer som springbræt og sender angreb mod Oracle WebCenter Enterprise Capture internt i virksomhedens netværk via RMI. Fordi sårbarheden ikke kræver et login, får angriberen straks systemadgang og begynder at kryptere filer som løsesumsangreb (ransomware).

Spredning til tilknyttede Oracle-systemer

En angriber udnytter sårbarheden til at overtage Oracle WebCenter Enterprise Capture og bruger herefter de opnåede rettigheder og legitimationsoplysninger til at bevæge sig videre ind i andre Oracle Fusion Middleware-komponenter i virksomhedens infrastruktur. Det kan føre til, at angriberen også kompromitterer fx Oracle Database eller Oracle WebLogic Server, hvilket potentielt lammer hele virksomhedens digitale drift.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle WebCenter Enterprise Capture product of Oracle Fusion Middleware (component: Client Bundle). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via RMI to compromise Oracle WebCenter Enterprise Capture. While the vulnerability is in Oracle WebCenter Enterprise Capture, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Enterprise Capture. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2026-46781
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch straks – maks. 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.