CVE-2026-46782: Kritisk sårbarhed i Oracle WebCenter
Kritisk sårbarhed i Oracle WebCenter Enterprise Capture giver angribere fuld kontrol over systemet via netværket.
Hvad er det?
CVE-2026-46782 er en kritisk sårbarhed i Oracle WebCenter Enterprise Capture, som er et softwareprodukt fra Oracle til håndtering og scanning af dokumenter i virksomheder. Sårbarheden findes i den såkaldte ‘Client Bundle’-komponent og rammer versionerne 12.2.1.4.0 og 14.1.2.0.0. En angriber med blot et almindeligt brugernavn og adgangskode kan udnytte fejlen over internettet uden yderligere teknisk snilde. Resultatet er, at angriberen kan overtage hele systemet fuldstændigt — og angrebet kan sprede sig til andre systemer, der er koblet til Oracle WebCenter.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle WebCenter Enterprise Capture i version 12.2.1.4.0 eller 14.1.2.0.0. Det drejer sig typisk om organisationer, der arbejder med digital dokumenthåndtering, scanning og arkivering via Oracle Fusion Middleware-platformen. Både mindre og større virksomheder kan være berørt, hvis de har systemet tilgængeligt over netværket.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende overtage Oracle WebCenter Enterprise Capture-systemet fuldstændigt. Det betyder potentielt:
- Datatyveri: Alle dokumenter og filer i systemet kan læses og kopieres.
- Datamanipulation: Angriberen kan ændre eller slette dokumenter og data.
- Systemnedbrud: Tjenesten kan gøres utilgængelig for din virksomhed.
- Spredning til andre systemer: Angrebet kan eskalere og ramme andre produkter og systemer, der er forbundet med Oracle WebCenter.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til CVSS-score 9.9 ud af 10, hvilket klassificeres som kritisk. Det er én af de højest mulige scorer. Tre faktorer gør den særligt farlig:
- Nem at udnytte: En angriber behøver kun et lavt privilegieniveau (fx en almindelig brugerkonto) og netværksadgang via HTTP.
- Ingen brugerinteraktion krævet: Der skal ikke narres nogen til at klikke på noget — angrebet kan ske automatisk.
- Scope change: Angrebet kan sprede sig ud over det direkte ramte system og påvirke andre dele af din IT-infrastruktur.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din virksomhed:
- Tjek om I bruger Oracle WebCenter Enterprise Capture: Kontakt jeres IT-ansvarlige eller leverandør og spørg, om I kører version 12.2.1.4.0 eller 14.1.2.0.0.
- Installer Oracles sikkerhedspatch: Oracle udgiver løbende Critical Patch Updates (CPU). Sørg for at anvende den seneste patch til det berørte produkt hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis patchen ikke kan installeres med det samme, så overvej at begrænse adgangen til systemet via firewall, så kun nødvendige brugere og systemer kan nå det.
- Gennemgå adgangsrettigheder: Tjek hvem der har brugerkonti i systemet, og fjern adgang for brugere, der ikke længere har behov for det.
- Overvåg for mistænkelig aktivitet: Hold øje med usædvanlig aktivitet i systemets logs (registreringer af systemhændelser) i den kommende periode.
Patch straks — inden for 24-72 timer
Med en CVSS-score på 9.9 og muligheden for fuldstændig systemovertagelse uden teknisk kompleksitet bør du behandle dette som en akut hændelse. Installer Oracles sikkerhedspatch øjeblikkeligt, og begræns i mellemtiden adgangen til systemet fra offentlige netværk. Kontakt din IT-leverandør i dag, hvis du er usikker på, om I er berørt, eller har brug for hjælp til at patche.
Tidslinje
Konkrete eksempler
Angriber med stjålet brugerkonto overtager systemet
En angriber køber et sæt stjålne loginoplysninger til en Oracle WebCenter-bruger på det mørke net (dark web). Med disse oplysninger sender angriberen en særligt udformet HTTP-forespørgsel til virksomhedens WebCenter-server. Uden yderligere hindringer opnår angriberen fuld kontrol over systemet og begynder at eksfiltrere (kopiere ud) alle scannede dokumenter og fortrolige filer.
Intern medarbejder eskalerer rettigheder
En medarbejder med en almindelig brugerkonto i Oracle WebCenter udnytter sårbarheden til at give sig selv administratorrettigheder. Vedkommende kan nu tilgå alle andre brugeres dokumenter, ændre i arkiverede filer og potentielt slette vigtige journaler — uden at det umiddelbart opdages af IT-afdelingen.
Angreb spreder sig til andre Oracle-systemer
En ekstern angriber kompromitterer Oracle WebCenter Enterprise Capture og bruger den opnåede adgang som springbræt til at bevæge sig videre ind i virksomhedens øvrige Oracle Fusion Middleware-infrastruktur. Angrebet rammer nu flere systemer, herunder ERP- og HR-løsninger, og virksomheden oplever et bredt databrud med alvorlige konsekvenser for både drift og compliance.
Ofte stillede spørgsmål
Hvordan ved jeg, om vi bruger den berørte version?
Log ind i Oracle WebCenter Enterprise Capture og find versionsnummeret under systeminfo eller ‘Om’-menuen. Er det 12.2.1.4.0 eller 14.1.2.0.0, er I berørt. Din IT-leverandør eller Oracle-support kan også hjælpe med at identificere versionen.
Kan en angriber udnytte dette udefra, hvis vi ikke er på internettet?
Sårbarheden kræver netværksadgang via HTTP. Hvis systemet kun er tilgængeligt på et lukket internt netværk uden forbindelse til internettet, er risikoen væsentligt lavere — men ikke elimineret, da trusler kan komme indefra også. Patch alligevel hurtigst muligt.
Hvad mener I med, at angrebet kan 'sprede sig til andre systemer'?
I CVSS-terminologi kaldes det ‘scope change’. Det betyder, at en angriber, der overtager Oracle WebCenter, potentielt kan bruge det som springbræt til at angribe andre systemer og applikationer, der deler infrastruktur eller brugerstyring med WebCenter — fx andre Oracle Fusion Middleware-produkter.
Er der tegn på, at sårbarheden allerede udnyttes aktivt?
På nuværende tidspunkt er der ikke bekræftede rapporter om aktiv, udbredt udnyttelse. Dog er sårbarheden teknisk set nem at udnytte, og det er kun et spørgsmål om tid, før angribere begynder at anvende den. Vent ikke på, at det sker — patch nu.
Hvad er en Critical Patch Update (CPU) fra Oracle?
En Critical Patch Update er Oracles kvartalsvise samling af sikkerhedsrettelser til deres produkter. Når Oracle udgiver en CPU, anbefales det kraftigt at installere den hurtigst muligt — særligt når den indeholder rettelser til kritiske sårbarheder som denne.
Hvad sker der, hvis vi ikke kan patche med det samme?
Som midlertidig løsning bør du straks begrænse adgangen til Oracle WebCenter Enterprise Capture via din firewall, så kun kendte og nødvendige IP-adresser kan nå systemet. Fjern desuden brugerkonti der ikke bruges, og øg overvågningen af systemet. Dette er dog kun en nødløsning — en patch er den eneste rigtige løsning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Enterprise Capture product of Oracle Fusion Middleware (component: Client Bundle). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Enterprise Capture. While the vulnerability is in Oracle WebCenter Enterprise Capture, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Enterprise Capture. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
