CVE-2026-46814: Kritisk sårbarhed i Oracle WebCenter Portal
Kritisk sårbarhed i Oracle WebCenter Portal giver angribere fuld kontrol over systemet via internettet.
Hvad er det?
Oracle WebCenter Portal er en virksomhedsplatform, som mange organisationer bruger til at bygge interne og eksterne webportaler, intranetsider og samarbejdsløsninger. Sårbarheden sidder i platformens sikkerhedsramme (Security Framework) og betyder, at en angriber med blot en almindelig brugerkonto kan overtage hele systemet via et netværksangreb over HTTP (standard webprotokol). Angrebet kræver ingen særlige tekniske tricks — det er nemt at udnytte. Versioner 12.2.1.4.0 og 14.1.2.0.0 er begge ramt.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle WebCenter Portal i version 12.2.1.4.0 eller 14.1.2.0.0. Det kan være mellemstore og større virksomheder, offentlige institutioner eller organisationer, der bruger Oracle Fusion Middleware som fundament for deres webportaler og digitale arbejdspladser. Hvis din virksomhed benytter Oracle WebCenter Portal — enten selv hostet eller via en leverandør — bør du reagere nu.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan overtage hele Oracle WebCenter Portal-installationen. Det betyder i praksis:
- Fuld adgang til fortrolige data — dokumenter, brugerdata, interne oplysninger og alt andet gemt i portalen kan blive læst eller stjålet.
- Manipulation af indhold og data — angriberen kan ændre, slette eller indsætte falske oplysninger.
- Nedbrud af systemet — tjenesten kan gøres utilgængelig for alle brugere.
- Spredning til andre systemer — fordi angrebet kan ramme systemer uden for selve portalen (scope change), risikerer du, at andre dele af din IT-infrastruktur også bliver kompromitteret.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.9 ud af 10 (Kritisk) af det internationale CVSS-scoringssystem — det er næsten det højest mulige. Vurderingen afspejler, at angrebet kan udføres over internettet uden særlige forudsætninger, at selv en bruger med lav adgang kan udnytte det, og at konsekvenserne er totale: fuld kompromittering af fortrolighed, integritet og tilgængelighed. Derudover kan angrebet sprede sig til andre tilknyttede systemer, hvilket løfter alvoren yderligere.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24-72 timer:
- Find ud af om du er ramt: Spørg din IT-ansvarlige eller leverandør, om din virksomhed kører Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0.
- Tjek efter Oracles sikkerhedsopdatering: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU)-program. Tjek Oracles supportportal for patchen til denne CVE.
- Installer opdateringen straks: Bed din IT-leverandør om at installere den tilgængelige sikkerhedsopdatering uden unødigt ophold.
- Begræns adgangen midlertidigt: Hvis patching ikke kan ske med det samme, bør du overveje at begrænse netværksadgangen til portalen, fx ved at lukke den af fra internettet, indtil opdateringen er på plads.
- Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet, der kan indikere, at nogen allerede har forsøgt at udnytte sårbarheden.
Handl inden for 24-72 timer
Med en CVSS-score på 9.9 er dette en af de mest alvorlige sårbarheder, vi ser. Du bør behandle dette som en akut hændelse og prioritere patching over alt andet. Kontakt din Oracle-leverandør eller IT-partner i dag og få bekræftet, om du er ramt — og få opdateringen installeret hurtigst muligt. Vent ikke på jeres næste planlagte vedligeholdsvindue.
Tidslinje
Konkrete eksempler
Ekstern bruger overtager portalen
En angriber opretter eller stjæler en lavt privilegeret brugerkonto i Oracle WebCenter Portal — fx en leverandørkonto med begrænset adgang. Via et målrettet HTTP-request udnytter angriberen sårbarheden i sikkerhedsrammen og eskalerer sine rettigheder til administrator. Derefter kan angriberen frit tilgå alle dokumenter, brugerdata og systemindstillinger — og låse de rigtige administratorer ude.
Ransomware-angreb via portalens netværksadgang
En cyberkriminel gruppe scanner internettet for sårbare Oracle WebCenter Portal-installationer og finder en virksomheds eksponerede portal. De logger ind med en opsnappet medarbejderkonto og udnytter CVE-2026-46814 til at få fuld systemkontrol. Derfra bevæger de sig videre til virksomhedens interne netværk, krypterer filer og kræver løsesum for at gendanne adgangen.
Datatyveri via kompromitteret kundeportal
En virksomhed driver en kundeportal bygget på Oracle WebCenter Portal. En angriber med en gyldig kundekonto udnytter sårbarheden til at tilgå andre kunders fortrolige data, kontrakter og betalingsoplysninger. Virksomheden opdager ikke bruddet før uger senere, og er nu i risiko for brud på GDPR-reglerne og alvorlig skade på omdømmet.
Ofte stillede spørgsmål
Hvad er Oracle WebCenter Portal?
Oracle WebCenter Portal er en softwareplatform fra Oracle, som virksomheder bruger til at bygge og drive webportaler — fx intranet, kundeportaler eller samarbejdsplatforme. Den er en del af Oracle Fusion Middleware, som er en samling af softwareværktøjer til virksomhedsapplikationer.
Skal en angriber have adgang til vores system i forvejen?
Angriberen skal have en almindelig brugerkonto i systemet — altså lav adgang. Det kan fx være en ekstern bruger, en leverandør eller en medarbejder med begrænset adgang. Det kræver ikke administratorrettigheder, og angrebet kan udføres over internettet uden fysisk tilstedeværelse.
Hvad menes der med 'scope change' i forbindelse med denne sårbarhed?
Scope change betyder, at angrebet ikke stopper ved det rammede system. Selvom sårbarheden er i Oracle WebCenter Portal, kan en angriber potentielt bruge den som springbræt til at kompromittere andre systemer og tjenester, der er forbundet med portalen — fx databaser, interne netværk eller andre Oracle-produkter.
Er der en opdatering (patch) tilgængelig?
Ja. Oracle udgiver sikkerhedsopdateringer som en del af deres Critical Patch Update (CPU)-program. Du bør straks kontakte din Oracle-leverandør eller IT-partner for at få installeret den relevante opdatering til din version af WebCenter Portal.
Hvad gør vi, hvis vi ikke kan opdatere med det samme?
Hvis en øjeblikkelig opdatering ikke er mulig, bør du som et midlertidigt tiltag begrænse adgangen til portalen — fx ved at lukke for ekstern adgang via internettet og kun tillade adgang fra kendte, betroede netværk. Kontakt din IT-leverandør for at få vurderet, hvilke kompenserende foranstaltninger der er mulige i jeres konkrete opsætning.
Kan vi se, om vi allerede er blevet angrebet?
Det er muligt at undersøge jeres logfiler for usædvanlig aktivitet, fx uventede login-forsøg, ukendte brugerhandlinger eller ændringer i systemet. Bed din IT-ansvarlige eller sikkerhedsleverandør om at gennemgå loggene — jo hurtigere, jo bedre. Tidlig opdagelse kan begrænse skaderne markant.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Security Framework). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
