CVE-2026-46800: Kritisk sårbarhed i Oracle WebCenter Sites
Kritisk sårbarhed i Oracle WebCenter Sites giver angribere fuld kontrol over dit system uden login.
Hvad er det?
Oracle WebCenter Sites er et indholdsstyringssystem (CMS) fra Oracle, der bruges til at bygge og drive hjemmesider og digitale oplevelser. CVE-2026-46800 er en kritisk sårbarhed i dette produkt, der gør det muligt for en angriber at overtage hele systemet via internettet – uden at have et brugernavn eller kodeord. Sårbarheden er teknisk set en netværksbaseret angrebsvektor med lav kompleksitet, hvilket betyder at et angreb er nemt at udføre. De berørte versioner er 12.2.1.4.0 og 14.1.2.0.0. Angrebet kan desuden brede sig og påvirke andre systemer og produkter, der er forbundet til WebCenter Sites.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Sites i version 12.2.1.4.0 eller 14.1.2.0.0 – typisk mellemstore og større virksomheder med Oracle-baseret webinfrastruktur. Hvis dit websted eller din digitale platform er bygget på Oracle WebCenter Sites, og systemet er tilgængeligt via internettet, er du potentielt i fare. Det gælder uanset om systemet er hostet internt eller hos en ekstern leverandør.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan overtage dit Oracle WebCenter Sites-system fuldstændigt. Det betyder at angriberen kan:
- Læse og stjæle alle data i systemet (fortrolige dokumenter, kundedata, login-oplysninger)
- Ændre eller slette indhold på dit websted
- Lægge dit websted ned og gøre det utilgængeligt
- Bruge dit system som springbræt til at angribe andre systemer i din virksomhed
Angrebet kræver ingen forberedelse, intet login og kan udføres af hvem som helst med adgang til internettet.
Hvor alvorligt er det?
Denne sårbarhed er tildelt den højest mulige CVSS-score på 10.0 (Kritisk). Det er meget sjældent. Alle tre kerneaspekter af sikkerhed er maksimalt påvirket: fortrolighed, integritet og tilgængelighed. Derudover er angrebet nemt at udføre – ingen særlige tekniske kompetencer er nødvendige – og det kræver hverken login eller brugerinteraktion. Endelig er der risiko for, at angrebet breder sig til andre systemer (scope change), hvilket gør skadepotentialet endnu større.
Hvad gør jeg nu?
Handl så hurtigt som muligt. Her er de konkrete trin du bør følge:
- Find ud af om du er ramt: Tjek med din IT-afdeling eller leverandør om din virksomhed bruger Oracle WebCenter Sites version 12.2.1.4.0 eller 14.1.2.0.0.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som en del af deres Critical Patch Update (CPU). Installer denne opdatering hurtigst muligt.
- Begræns adgangen midlertidigt: Hvis opdateringen ikke kan installeres med det samme, så begræns adgangen til systemet via firewall eller VPN, så kun betroede brugere kan nå det.
- Tjek dine logfiler: Gennemgå adgangslogfiler for tegn på mistænkelig aktivitet i perioden op til og efter opdagelsen af sårbarheden.
- Kontakt din IT-leverandør: Hvis du ikke selv håndterer Oracle-drift, kontakt din leverandør og bed om en opdateringsplan med en konkret tidsramme.
Opdater inden for 24-72 timer
Med en CVSS-score på 10.0 er dette den mest alvorlige kategori af sårbarheder – og den bør behandles som en akut krise. Auroa anbefaler, at du øjeblikkeligt afklarer om din virksomhed er eksponeret, og at du prioriterer opdateringen over alt andet IT-arbejde denne uge. Har du ikke ressourcerne internt til at håndtere det hurtigt, så kontakt os – vi hjælper med at vurdere din eksponering og sikre en forsvarlig opdateringsproces.
Tidslinje
Konkrete eksempler
Automatiseret overtagelse via internetscanning
En angriber bruger et automatiseret scanningsværktøj (f.eks. Shodan eller Masscan) til at identificere alle Oracle WebCenter Sites-installationer eksponeret på internettet. Inden for minutter finder værktøjet din virksomheds webserver, og angriberen sender en specifik HTTP-forespørgsel, der udnytter sårbarheden. Resultatet er fuld administratoradgang til dit CMS – uden at have brugt et eneste brugernavn eller kodeord.
Ransomware-angreb via WebCenter Sites
En cyberkriminel gruppe kompromitterer dit Oracle WebCenter Sites-system og bruger det som indgangspunkt til dit interne netværk. Herfra installerer de ransomware (software der krypterer dine filer og kræver løsesum) på kritiske servere. Dit websted og interne systemer lægges ned, og gruppen kræver betaling for at låse data op – en situation der kan koste hundredtusindvis af kroner og lægge din virksomhed stille i dage eller uger.
Datatyveri og misbrug af kundedata
En angriber får adgang til din WebCenter Sites-installation og trækker systematisk alle lagrede data ud – herunder kundeoplysninger, interne dokumenter og eventuelle loginoplysninger til andre systemer. Disse data sælges på det mørke net eller bruges til at afpresse din virksomhed. Bruddet udløser pligt til at anmelde hændelsen til Datatilsynet inden for 72 timer og kan resultere i betydelige GDPR-bøder samt skade på virksomhedens omdømme.
Ofte stillede spørgsmål
Hvad er Oracle WebCenter Sites, og bruger min virksomhed det?
Oracle WebCenter Sites er et enterprise CMS (indholdsstyringssystem) primært brugt af større virksomheder til at drive hjemmesider og digitale platforme. Det er ikke et produkt de fleste mindre virksomheder bruger. Spørg din IT-ansvarlige eller leverandør om I har Oracle-produkter i jeres infrastruktur – de ved det med sikkerhed.
Kan angriberen udnytte sårbarheden uden at kende vores systemer på forhånd?
Ja. Sårbarheden kan udnyttes af alle med adgang til internettet, uden forudgående viden om jeres system og uden login-oplysninger. Automatiserede angrebsværktøjer kan scanne internettet og finde sårbare installationer på få minutter, hvilket gør truslen reel og umiddelbar.
Hvad mener man med 'scope change' i forbindelse med denne sårbarhed?
‘Scope change’ (dansk: udvidelse af angrebsomfang) betyder, at et vellykket angreb ikke kun påvirker det direkte angrebne system – Oracle WebCenter Sites – men potentielt kan brede sig til andre systemer og komponenter i din IT-infrastruktur, der er forbundet til det. Det øger risikoen markant, fordi én kompromitteret komponent kan åbne døren til hele dit netværk.
Vi har ikke opdateret endnu – hvad kan vi gøre i mellemtiden?
Som midlertidig foranstaltning bør du begrænse adgangen til Oracle WebCenter Sites via firewall-regler, så systemet kun er tilgængeligt fra specifikke, betroede IP-adresser. Overvej også at lægge systemet bag en VPN. Dette er dog ikke en permanent løsning – det erstatter ikke en opdatering, men køber dig lidt tid til at planlægge en forsvarlig patching-proces.
Er der kendte angreb der allerede udnytter denne sårbarhed?
På tidspunktet for offentliggørelsen er der ikke bekræftede rapporter om aktive angreb i stor skala. Dog er en CVSS 10.0-sårbarhed et meget attraktivt mål for angribere, og historien viser, at kritiske Oracle-sårbarheder hurtigt bliver udnyttet efter offentliggørelsen. Det er derfor vigtigt at handle nu – ikke at afvente bekræftede angreb.
Hvad koster det os ikke at handle?
Konsekvenserne af et vellykket angreb kan inkludere datatyveri (med potentielle GDPR-bøder), nedetid på dit websted, tab af kundetillid og udgifter til krisehåndtering. En simpel opdatering er langt billigere end oprydning efter et sikkerhedsbrud. For de fleste virksomheder er prisen på inaction markant højere end prisen på at handle proaktivt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Sites product of Oracle Fusion Middleware (component: WebCenter Sites). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Sites. While the vulnerability is in Oracle WebCenter Sites, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Sites. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
