CVE-2026-46799: Kritisk fejl i Oracle WebCenter Sites
Kritisk sårbarhed i Oracle WebCenter Sites giver hackere fuld systemadgang uden login – opdater straks.
Hvad er det?
Oracle WebCenter Sites er et system til styring af digitalt indhold (et såkaldt CMS – Content Management System), som bruges af mange virksomheder til at drive og opdatere hjemmesider og webportaler. Denne sårbarhed (CVE-2026-46799) gør det muligt for en angriber at overtage hele systemet fuldstændigt – uden at have et brugernavn eller adgangskode. Angrebet sker over internettet via den normale webadgang (HTTP), og det kræver ingen hjælp fra en medarbejder i virksomheden. Det betyder, at sårbarheden kan udnyttes automatisk og i stor skala af cyberkriminelle.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle WebCenter Sites i version 12.2.1.4.0 eller 14.1.2.0.0. Det er typisk mellemstore og større virksomheder, kommuner, medier og andre med komplekse webplatforme bygget på Oracle Fusion Middleware. Hvis din virksomhed bruger Oracle WebCenter Sites – eller har en leverandør eller webbureau, der driver det for jer – er I potentielt i farezonen.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan overtage hele Oracle WebCenter Sites-installationen. Det betyder i praksis:
- Datatyveri: Al information i systemet – herunder indhold, brugere og konfiguration – kan kopieres og stjæles.
- Manipulation: Angriberen kan ændre eller slette indhold på jeres hjemmeside eller portal.
- Systemovertagelse: Angriberen kan bruge systemet som springbræt til at angribe andre dele af virksomhedens netværk.
- Nedbrud: Systemet kan gøres utilgængeligt for medarbejdere og kunder.
Hvor alvorligt er det?
Denne sårbarhed er vurderet som kritisk med en CVSS-score på 9.8 ud af 10 – det er den højest mulige risikovurdering i praksis. Den er kritisk af tre grunde på én gang: den kan udnyttes over nettet uden forudgående adgang, den kræver ingen handling fra en medarbejder, og den giver angriberen total kontrol over systemet (fortrolighed, integritet og tilgængelighed er alle maksimalt kompromitteret). Enhver sårbarhed med disse karakteristika bør behandles som en akut hændelse.
Hvad gør jeg nu?
Hvis din virksomhed bruger Oracle WebCenter Sites, skal du handle hurtigt. Følg disse trin:
- Bekræft om du er berørt: Kontakt dit IT-team eller den leverandør, der driver jeres Oracle-miljø, og find ud af hvilken version I kører. Er det 12.2.1.4.0 eller 14.1.2.0.0, er I i farezonen.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (sikkerhedsopdatering) som en del af deres Critical Patch Update. Opdateringen skal installeres hurtigst muligt.
- Begræns adgangen midlertidigt: Hvis I ikke kan patche med det samme, så overvej at begrænse adgangen til systemet via firewall eller VPN, så kun autoriserede brugere kan nå det.
- Tjek for tegn på indbrud: Bed jeres IT-ansvarlige eller en sikkerhedsrådgiver om at gennemgå logfiler for mistænkelig aktivitet – særligt i perioden op til og efter offentliggørelsen af sårbarheden.
- Informér relevante parter: Hvis I håndterer personoplysninger i systemet, og der er tegn på brud, kan I have pligt til at anmelde det til Datatilsynet inden for 72 timer.
Patch straks – kritisk risiko
Vi anbefaler, at du behandler denne sårbarhed som en akut opgave og sørger for, at jeres Oracle WebCenter Sites-installation bliver patchet inden for de nærmeste dage. Kontakt jeres IT-leverandør eller interne IT-ansvarlige i dag og bed dem bekræfte status. Hvis I er i tvivl om, hvorvidt I er berørt, eller har brug for hjælp til at vurdere risikoen, er du velkommen til at kontakte os hos Auroa – vi hjælper jer hurtigt videre.
Tidslinje
Konkrete eksempler
Automatiseret overtagelse via internet-scanning
En cyberkriminel gruppe kører et automatiseret scanningsværktøj, der gennemsøger internettet for servere, som kører Oracle WebCenter Sites. Når et sårbart system identificeres, sendes en særligt udformet HTTP-forespørgsel, der udnytter fejlen og giver fuld administrativ adgang – alt sammen uden et brugernavn eller kodeord. Hele processen tager under et minut og kræver ingen menneskelig interaktion fra virksomhedens side.
Ransomware-angreb via kompromitteret webplatform
En angriber overtager Oracle WebCenter Sites hos en mellemstor dansk virksomhed og bruger den som indgang til det bagvedliggende netværk. Herfra installeres ransomware (software der krypterer virksomhedens filer og kræver løsesum), som spreder sig til filservere og backupsystemer. Virksomheden mister adgang til kritiske data og hjemmesiden er nede i dagevis.
Defacement og omdømmeskade
En angriber udnytter sårbarheden til at ændre indholdet på virksomhedens offentlige hjemmeside – eksempelvis ved at erstatte forsiden med politiske budskaber eller falske meddelelser til kunder. Selv hvis skaden rettes hurtigt, kan det skabe tvivl om virksomhedens troværdighed og datasikkerhed hos kunder og samarbejdspartnere.
Ofte stillede spørgsmål
Vi bruger Oracle, men jeg ved ikke hvilken version. Hvordan finder jeg det ud?
Den nemmeste vej er at kontakte den leverandør eller det IT-firma, der administrerer jeres Oracle-miljø. Bed dem specifikt tjekke versionen af Oracle WebCenter Sites. Alternativt kan en intern IT-administrator logge ind på administrationspanelet og finde versionsnummeret under systemoplysninger.
Kan vi bare lukke systemet ned midlertidigt, mens vi venter på at patchere?
Det er én mulighed, men ikke altid praktisk hvis systemet driver en aktiv hjemmeside eller kundeportal. Et bedre kompromis er at begrænse adgangen via en firewall, så kun betroede IP-adresser kan nå systemet, indtil patchen er installeret. Tal med jeres IT-ansvarlige om den konkrete løsning.
Hvad er en 'patch', og hvad indebærer det at installere den?
En patch er en softwareopdatering fra producenten – i dette tilfælde Oracle – som lukker den kendte sikkerhedsfejl. At installere den betyder typisk, at jeres IT-team downloader og anvender opdateringen på serveren, der kører Oracle WebCenter Sites. Det kræver som regel et planlagt vedligeholdelsesvindue, da systemet kan være utilgængeligt kortvarigt under installationen.
Har nogen allerede udnyttet denne sårbarhed mod danske virksomheder?
Der er ikke offentliggjort specifikke rapporter om angreb mod danske virksomheder på nuværende tidspunkt. Men fordi sårbarheden er kritisk og nem at udnytte, er det sandsynligt, at angribere aktivt scanner efter sårbare systemer. Historisk set udnyttes kritiske Oracle-sårbarheder hurtigt efter offentliggørelse.
Vi har en ekstern webbureau, der driver vores hjemmeside på Oracle. Hvad gør vi?
Kontakt bureauet hurtigst muligt og bed dem bekræfte skriftligt, at de er klar over sårbarheden, og hvornår de forventer at have patchen installeret. Det er dit bureaus ansvar at holde platformen opdateret, men det er din ret som kunde at kræve en tidsplan og opdateringsstatus.
Skal vi anmelde det til Datatilsynet, selvom vi ikke ved om der er sket et brud?
Nej – ikke alene fordi sårbarheden eksisterer. Du har kun pligt til at anmelde til Datatilsynet, hvis du har begrundet mistanke om, at personoplysninger faktisk er blevet tilgået eller stjålet (et såkaldt databrud). Gennemgå jeres logs, og kontakt eventuelt en rådgiver, hvis I finder mistænkelig aktivitet.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Sites product of Oracle Fusion Middleware (component: WebCenter Sites). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Sites. Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Sites. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
