CVE-2026-46809: Kritisk sårbarhed i Oracle WebCenter Sites
Kritisk sårbarhed i Oracle WebCenter Sites giver uautoriserede angribere fuld adgang til at læse og ændre alle data via internettet.
Hvad er det?
Oracle WebCenter Sites er et system til håndtering af webindhold (et såkaldt CMS — Content Management System), som bruges til at drive og administrere større hjemmesider og digitale oplevelser. CVE-2026-46809 er en kritisk sårbarhed i dette produkt, der gør det muligt for en angriber uden nogen form for login eller forudgående adgang at tilgå systemet over internettet. Angriberen kan både læse alle data og ændre eller slette kritisk indhold — uden at efterlade synlige spor med det samme. Sårbarheden kræver ingen brugerinteraktion og er nem at udnytte, hvilket gør den særligt farlig.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der anvender Oracle WebCenter Sites version 12.2.1.4.0 eller 14.1.2.0.0 som en del af Oracle Fusion Middleware-platformen. Det drejer sig typisk om mellemstore til større virksomheder, der bruger Oracle-platforme til at drive komplekse hjemmesider, intranet-løsninger eller digitale kundeportaler. Har din virksomhed et Oracle-baseret CMS eller benytter jer af Oracle Fusion Middleware, bør du undersøge om I er berørt.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Læse al data i Oracle WebCenter Sites — herunder fortroligt indhold, konfigurationer og potentielt brugerdata.
- Oprette, ændre eller slette kritisk indhold og data i systemet.
- Kompromittere integriteten af din hjemmeside eller portal, f.eks. ved at indsætte falsk eller skadelig information.
- Bruge adgangen som springbræt til videre angreb mod andre systemer i jeres infrastruktur.
Bemærk: Systemets tilgængelighed (dvs. om det fortsat kører) påvirkes ikke direkte af denne sårbarhed, men data og indhold er fuldt eksponeret.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.1 ud af 10 (Kritisk) efter CVSS-skalaen (Common Vulnerability Scoring System — en international standard til vurdering af sikkerhedssårbarheder). Det er en af de højeste mulige scores. Tre faktorer gør den særligt alvorlig:
- Ingen login kræves: Hvem som helst med internetadgang kan forsøge angrebet.
- Lav kompleksitet: Angrebet er nemt at udføre — det kræver ikke avancerede færdigheder.
- Ingen brugerinteraktion: Din organisation skal ikke gøre noget forkert — angriberen kan handle helt på egen hånd.
Hvad gør jeg nu?
Hvis din virksomhed bruger Oracle WebCenter Sites, skal du handle hurtigt. Her er de vigtigste trin:
- Identificér om I er berørt: Kontakt jeres IT-leverandør eller interne IT-ansvarlige og bed dem bekræfte, om I kører Oracle WebCenter Sites version 12.2.1.4.0 eller 14.1.2.0.0.
- Tjek Oracles sikkerhedsopdateringer: Gå til Oracles officielle Critical Patch Update-side og find den relevante patch (sikkerhedsopdatering) til CVE-2026-46809. Installer den hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, bør I overveje at begrænse adgangen til WebCenter Sites-serveren via en firewall (netværksbarriere), så kun autoriserede brugere kan nå den.
- Gennemgå adgangslogge: Bed IT om at kigge i systemets logfiler for at se, om der allerede har været mistænkelig aktivitet mod systemet.
- Orienter relevante parter: Informér ledelse og evt. databehandlere, særligt hvis persondata kan være tilgået — dette kan udløse krav om anmeldelse til Datatilsynet.
Patch hurtigst muligt — indenfor 24-72 timer
Vi anbefaler, at du installerer Oracles sikkerhedspatch til CVE-2026-46809 hurtigst muligt — gerne indenfor 24-72 timer. Den høje CVSS-score kombineret med, at angrebet ikke kræver login eller særlige tekniske færdigheder, betyder at risikoen for udnyttelse er meget høj. Kan patchen ikke installeres med det samme, bør adgangen til systemet begrænses via firewall-regler som en midlertidig foranstaltning. Kontakt os gerne, hvis I har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Angriber overtager webindhold uden login
En angriber finder via en simpel internetscanning frem til en virksomheds Oracle WebCenter Sites-installation. Uden brug af brugeroplysninger sender angriberen en særligt udformet HTTP-forespørgsel (en besked til serveren via internettet) og får fuld skriveadgang. Angriberen ændrer hjemmesidens indhold til at vise falske oplysninger eller indsætte links til skadelige hjemmesider, hvilket skader virksomhedens omdømme og potentielt inficerer besøgendes computere.
Datatyveri af fortrolige dokumenter og kundedata
En konkurrent eller kriminel aktør udnytter sårbarheden til at hente alt indhold fra virksomhedens WebCenter Sites-installation — herunder upublicerede dokumenter, interne sider og eventuelle kundeoplysninger gemt i systemet. Dataene sælges videre eller bruges til afpresning. Virksomheden opdager først bruddet uger senere via en tredjepart.
Systemet bruges som springbræt mod interne systemer
Efter at have opnået adgang til Oracle WebCenter Sites bruger angriberen serverens netværksposition til at kortlægge og angribe andre interne systemer, som serveren kommunikerer med — f.eks. en database eller et ERP-system (virksomhedens administrative IT-system). Det oprindelige angreb på hjemmesiden bliver dermed indgangen til et langt større brud på virksomhedens samlede IT-infrastruktur.
Ofte stillede spørgsmål
Hvordan ved jeg, om min virksomhed bruger Oracle WebCenter Sites?
Spørg jeres IT-ansvarlige eller IT-leverandør om I anvender Oracle Fusion Middleware som platform for jeres hjemmeside eller intranet. Oracle WebCenter Sites er typisk en del af større Oracle-baserede løsninger og er sjældent installeret uden at IT-afdelingen ved det. Du kan også søge i jeres softwarelicenser eller kontrakter med IT-leverandører.
Kan vi selv se, om vi allerede er blevet angrebet?
Det kræver teknisk kendskab at gennemgå systemlogge, men det er muligt. Bed jeres IT-ansvarlige om at kigge efter uventede adgangsforsøg, usædvanlige ændringer i indhold eller konfigurationer, samt ukendte IP-adresser i adgangslogge. Hvis I er i tvivl, kan en ekstern cybersikkerhedsspecialist hjælpe med en hurtig gennemgang.
Skal vi anmelde det til Datatilsynet, hvis vi er blevet ramt?
Hvis der er grund til at tro, at personoplysninger er blevet tilgået eller ændret uden tilladelse, ja — så er I som udgangspunkt forpligtet til at anmelde sikkerhedsbruddet til Datatilsynet inden for 72 timer efter I bliver bekendt med det. Dette følger af GDPR (databeskyttelsesforordningen). Kontakt en juridisk rådgiver eller jeres DPO (databeskyttelsesrådgiver) for at vurdere jeres konkrete situation.
Er det kun selve hjemmesiden, der er i fare, eller kan angribere komme videre ind i vores netværk?
Sårbarheden rammer primært Oracle WebCenter Sites-systemet, men en angriber der får fuld adgang til dette system kan potentielt bruge det som springbræt til andre dele af jeres IT-infrastruktur — særligt hvis systemet er forbundet til databaser, interne netværk eller andre applikationer. Derfor er det vigtigt at håndtere sårbarheden hurtigt og efterfølgende undersøge om andre systemer er eksponeret.
Hvad koster det at ignorere denne sårbarhed?
Konsekvenserne kan være alvorlige: tab af fortrolige forretningsdata, skade på virksomhedens omdømme, juridiske forpligtelser ved databrud, og potentielle bøder ved brud på GDPR. Derudover kan en kompromitteret server bruges til at angribe jeres kunder eller samarbejdspartnere. Prisen for at rette op på et angreb er næsten altid langt højere end prisen for forebyggelse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Sites product of Oracle Fusion Middleware (component: WebCenter Sites). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Sites. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle WebCenter Sites accessible data as well as unauthorized access to critical data or complete access to all Oracle WebCenter Sites accessible data. CVSS 3.1 Base Score 9.1 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
