CVE-2026-46844: Kritisk fejl i Oracle WebCenter Portal
Kritisk fejl i Oracle WebCenter Portal giver angribere med en brugerkonto fuld kontrol over systemet via internettet.
Hvad er det?
CVE-2026-46844 er en kritisk sikkerhedsfejl i Oracle WebCenter Portal, som er en webbaseret platform fra Oracle til intranet og samarbejdsløsninger. Fejlen sidder i portalens sikkerhedsramme (Security Framework) og gør det muligt for en angriber, der blot har en almindelig brugerkonto, at overtage hele systemet via en normal HTTPS-forbindelse over internettet. Der kræves ingen avancerede tekniske færdigheder, og angrebet sker uden hjælp fra andre brugere. Sårbare versioner er 12.2.1.4.0 og 14.1.2.0.0.
Hvem rammer det?
Fejlen rammer virksomheder og organisationer, der bruger Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0 – typisk som intranet, kundepanel eller samarbejdsplatform. Da portalen ofte er tilgængelig via internettet og bruges af mange medarbejdere eller kunder, er angrebsfladen stor. Selv en medarbejder eller ekstern bruger med den mindste adgang kan potentielt udnytte fejlen.
Hvad kan ske?
En angriber, der udnytter fejlen, kan overtage Oracle WebCenter Portal fuldstændigt. Det betyder:
- Fortrolighed: Alle data i portalen kan læses og kopieres – herunder personfølsomme oplysninger, interne dokumenter og brugerdata.
- Integritet: Indhold og konfigurationer kan ændres eller slettes uden spor.
- Tilgængelighed: Systemet kan lukkes ned eller gøres ubrugeligt.
- Spredning: Fordi angrebet kan påvirke andre systemer end selve portalen (scope change), risikerer du, at angrebet breder sig til tilknyttede IT-systemer i din virksomhed.
Hvor alvorligt er det?
Med en CVSS-score på 9,9 ud af 10 er dette en af de mest alvorlige typer sårbarheder. Kombinationen af lav angrebskompleksitet, netværksadgang, minimale krav til rettigheder og potentiel spredning til andre systemer gør den ekstremt farlig. Oracle har klassificeret den som Kritisk. Har du en eksponeret Oracle WebCenter Portal, bør du handle øjeblikkeligt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Afklar om du er berørt: Kontakt din IT-ansvarlige eller leverandør og find ud af, om I bruger Oracle WebCenter Portal version 12.2.1.4.0 eller 14.1.2.0.0.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU)-program. Sørg for at opdateringen fra juli 2026 installeres hurtigst muligt.
- Begræns adgangen midlertidigt: Hvis portalen ikke kan opdateres straks, så begræns adgangen til systemet – eksempelvis ved kun at tillade adgang fra kendte IP-adresser (netværksfiltrerering/firewall).
- Gennemgå adgangsrettigheder: Sørg for at fjerne brugere, der ikke har brug for adgang, og skærp adgangskontrol, så kun nødvendige personer kan logge ind.
- Overvåg for mistænkelig aktivitet: Tjek logs for usædvanlige login-forsøg eller adfærd i perioden frem til opdatering er installeret.
- Kontakt din IT-leverandør: Er Oracle WebCenter Portal driftet af en ekstern leverandør, så kontakt dem og bed om bekræftelse på, at opdatering er planlagt og gennemført.
Opdatér senest inden for 72 timer
Med en kritisk score på 9,9 og en sårbarhed der kræver meget lidt af angriberen, anbefaler vi, at du behandler dette som en akut hændelse. Installer Oracles sikkerhedsopdatering med det samme, og luk i mellemtiden adgangen til portalen for udefrakommende trafik, hvis det er teknisk muligt. Er du i tvivl om din eksponering, så kontakt Auroa – vi hjælper dig med at vurdere situationen og komme sikkert igennem opdateringsprocessen.
Tidslinje
Konkrete eksempler
Kompromitteret medarbejderkonto bruges til systemovertagelse
En angriber køber en stjålet brugerkonto til jeres Oracle WebCenter Portal på et hacker-forum. Med denne konto – som normalt kun giver adgang til at læse interne dokumenter – udnytter angriberen fejlen i sikkerhedsrammen til at eskalere sine rettigheder og overtage hele portalen. Herefter kopierer angriberen følsomme HR-oplysninger og kundedata og installerer bagdøre i systemet.
Leverandør med adgang bruges som angrebsvej
En ekstern samarbejdspartner har fået adgang til jeres portal for at dele projektdokumenter. Partnerens computer er inficeret med malware, som stjæler loginoplysningerne. Angriberen bag malwaren bruger partnerens konto til at udnytte CVE-2026-46844, overtager portalen og spreder sig videre til interne databaser via den forbindelse, portalen har til resten af jeres IT-infrastruktur.
Ransomware-angreb via portaladgang
En angriber opretter sig som ny bruger via et offentligt tilgængeligt registreringsmodul på portalen eller gætter et svagt kodeord. Via CVE-2026-46844 opnår angriberen fuld administratoradgang, krypterer data i portalen og tilknyttede systemer og kræver løsesum. Virksomheden mister adgang til kritiske samarbejds- og kundedokumenter i dagevis.
Ofte stillede spørgsmål
Hvad er Oracle WebCenter Portal, og bruger vi det?
Oracle WebCenter Portal er en platform til at bygge intranet, kundeportaler og samarbejdsløsninger. Det er et Oracle-produkt, der typisk bruges i mellemstore til store virksomheder. Spørg din IT-ansvarlige eller din softwareleverandør, om I har dette system installeret – det kan også være hostet eksternt hos en leverandør.
Kan en angriber virkelig udnytte dette med en normal brugerkonto?
Ja. Netop det gør denne sårbarhed særligt farlig. En angriber behøver kun en lavprivilegeret konto – altså en helt almindelig brugeradgang – for at gennemføre angrebet. Det betyder, at en misfornøjet medarbejder, en kompromitteret leverandørkonto eller en stjålet adgangskode kan være nok til at overtage hele systemet.
Hvad menes der med 'scope change' (påvirkning af andre systemer)?
Scope change betyder, at et vellykket angreb ikke kun rammer Oracle WebCenter Portal selv, men også kan sprede sig til andre IT-systemer, der er forbundet med portalen. Det kan for eksempel være dine interne databaser, mailsystemer eller andre forretningsapplikationer. Det øger risikoen markant og er en af grundene til den høje CVSS-score.
Er der en opdatering tilgængelig, og hvor finder jeg den?
Oracle udgiver sikkerhedsopdateringer i deres kvartalsvise Critical Patch Update (CPU). En patch til denne sårbarhed forventes at indgå i Oracles CPU for juli 2026. Du finder opdateringen via Oracle Support (support.oracle.com) under din licens. Er portalen driftet af en ekstern leverandør, skal du kontakte dem og sikre dig, at de opdaterer systemet hurtigst muligt.
Hvad kan vi gøre, hvis vi ikke kan opdatere med det samme?
Som midlertidig foranstaltning bør du begrænse adgangen til Oracle WebCenter Portal via firewall eller netværksfiltrering, så kun kendte og nødvendige IP-adresser kan tilgå systemet. Overvej også at deaktivere ekstern adgang midlertidigt, indtil opdateringen er installeret. Disse tiltag reducerer risikoen, men erstatter ikke en ordentlig patch.
Skal vi anmelde dette til Datatilsynet, hvis vi er blevet ramt?
Hvis I har grund til at tro, at personoplysninger er kompromitteret som følge af et angreb, skal I som udgangspunkt anmelde det til Datatilsynet inden for 72 timer efter I bliver bekendt med hændelsen – det kræver GDPR. Kontakt Auroa eller en juridisk rådgiver for at afklare, hvad der gælder i jeres konkrete situation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle WebCenter Portal product of Oracle Fusion Middleware (component: Security Framework). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle WebCenter Portal. While the vulnerability is in Oracle WebCenter Portal, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle WebCenter Portal. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
