CVE-2026-46878
Kritisk

CVE-2026-46878: Kritisk sårbarhed i Oracle JD Edwards

Kritisk sårbarhed i Oracle JD Edwards giver uautoriserede angribere fuld kontrol over dit ERP-system via netværket.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 72 timer

Hvad er det?

CVE-2026-46878 er en kritisk sårbarhed i Oracle JD Edwards EnterpriseOne Tools — et udbredt ERP-system (forretningssystem til økonomi, produktion og logistik). Sårbarheden findes i systemets netværkskommunikationskomponent kaldet JDENET og berører versioner 9.2.0.0 til 9.2.26.2. En angriber kan udnytte den uden at have et brugernavn eller password, og uden at du eller dine medarbejdere behøver klikke på noget. Det er nok, at systemet er tilgængeligt via netværket. Oracle har tildelt den den højest mulige alvorlighedsscore på 9,8 ud af 10.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Oracle JD Edwards EnterpriseOne Tools i version 9.2.0.0 til og med 9.2.26.2. Det er typisk mellemstore og større virksomheder inden for produktion, distribution, byggeri og detailhandel, som bruger JD Edwards som deres centrale forretningssystem. Både on-premise-installationer (lokalt på egne servere) og visse cloud-opsætninger kan være berørt, hvis JDENET-porten er eksponeret mod netværket.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan vedkommende overtage hele JD Edwards EnterpriseOne-installationen. Det betyder i praksis:

  • Datatyveri: Adgang til al forretningsdata, herunder økonomi, kunderegister og leverandøroplysninger.
  • Manipulation: Ændring eller sletning af ordrer, fakturaer og regnskabsposter.
  • Driftstop: Angriberen kan lægge systemet ned, så produktionen eller administrationen standser.
  • Ransomware-springbræt: JD Edwards-serveren kan bruges som indgang til resten af virksomhedens netværk og inficeres med ransomware (løsesumsvirus).

Hvor alvorligt er det?

CVSS-scoren er 9,8 ud af 10, hvilket placerer den i kategorien Kritisk. Det er den næsthøjeste mulige score. Tre forhold gør den særligt farlig:

  • Ingen login kræves: Angriberen behøver ingen brugerkonto.
  • Lav kompleksitet: Angrebet kræver ingen særlig forberedelse eller held.
  • Ingen brugerinteraktion: Ingen medarbejder behøver gøre noget forkert — systemet er sårbart i sig selv.

Kombinationen betyder, at automatiserede angrebsværktøjer kan scanne internettet og ramme ubeskyttede systemer hurtigt og i stor skala.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt — helst inden for 24-72 timer:

  1. Identificér din version: Tjek hvilken version af JD Edwards EnterpriseOne Tools du kører. Er du på version 9.2.0.0–9.2.26.2, er du sårbar.
  2. Afskær netværksadgang til JDENET midlertidigt: Bloker adgangen til JDENET-porten i din firewall (netværksmur), så systemet ikke er tilgængeligt fra internettet eller usikre netværkszoner, mens du afventer patchen.
  3. Installer Oracles patch: Oracle har udsendt en sikkerhedsopdatering. Kontakt din JD Edwards-leverandør eller IT-partner og få den installeret hurtigst muligt.
  4. Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke JDENET-logge for usædvanlig aktivitet, der kan indikere, at nogen allerede har forsøgt at udnytte sårbarheden.
  5. Informér din IT-partner: Hvis du bruger ekstern IT-support, skal de orienteres med det samme, så de kan prioritere opdateringen.
Tidsfrist

Patch inden for 72 timer

Sådan ser Auroa det

Vi anbefaler, at du behandler denne sårbarhed som en akut hændelse og igangsætter patching inden for 72 timer. Hvis du ikke kan patche med det samme, bør du som minimum blokere JDENET-porten i din firewall for at reducere risikoen midlertidigt. Kontakt din IT-leverandør eller Auroa, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle og NVD
Oracle offentliggør CVE-2026-46878 som en del af en planlagt Critical Patch Update (CPU). Sårbarheden tildeles CVSS-score 9,8 og klassificeres som Kritisk.
17/06/2026
Patch tilgængelig fra Oracle
Oracle udgiver en sikkerhedsopdatering til JD Edwards EnterpriseOne Tools samtidig med offentliggørelsen. Opdateringen er tilgængelig via My Oracle Support.
18/06/2026
Sikkerhedsforskere analyserer sårbarheden
Efter offentliggørelsen begynder sikkerhedsforskere at analysere CVSS-vektoren og JDENET-protokollen. Den lave angrebskompleksitet og manglende krav til autentifikation øger bekymringen for hurtig udnyttelse.
20/06/2026
Proof-of-concept-kode forventes i omløb
Baseret på sårbarheds­profilens enkelhed (ingen login, ingen brugerinteraktion, netværksbaseret) vurderer sikkerhedsmiljøet, at proof-of-concept-angrebskode typisk dukker op inden for 3-7 dage efter offentliggørelse af denne type CVE.
24/06/2026
Kritisk deadline for patching
Virksomheder, der endnu ikke har installeret patchen eller blokeret JDENET-adgang, betragtes som højrisiko. Automatiserede angrebsværktøjer kan på dette tidspunkt aktivt scanne efter sårbare systemer.

Konkrete eksempler

Direkte serverovertagelse via åben JDENET-port

En angriber scanner internettet for servere med JD Edwards JDENET-porten åben (typisk port 6017 eller lignende). Uden at have et brugernavn eller password sender angriberen specialfremstillede netværkspakker direkte til porten og udnytter sårbarheden til at få administratoradgang til serveren. Derfra kan angriberen eksportere hele virksomhedens ERP-database med kunder, leverandører og regnskabsdata.

Ransomware-angreb via JD Edwards som indgang

En cyberkriminel gruppe får adgang til JD Edwards-serveren via CVE-2026-46878 og bruger den som et springbræt ind i virksomhedens øvrige netværk. Herfra installerer de ransomware (løsesumsvirus) på filservere og backup-systemer. Virksomheden vågner op til krypterede filer og et krav om løsesum på flere hundrede tusinde kroner for at få adgangen tilbage.

Manipulation af finansielle data

En angriber med adgang til JD Edwards-systemet ændrer bankkontonumre i leverandørregistret, så fremtidige betalinger omdirigeres til en konto under angriberens kontrol. Fordi adgangen sker på serverniveau, efterlades ingen normale revisionsspor, og bedrageriet opdages først ved måneds­afslutning eller ved en leverandørklage.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the JD Edwards EnterpriseOne Tools product of Oracle JD Edwards (component: Enterprise Infrastructure Security). Supported versions that are affected are 9.2.0.0-9.2.26.2. Easily exploitable vulnerability allows unauthenticated attacker with network access via JDENET to compromise JD Edwards EnterpriseOne Tools. Successful attacks of this vulnerability can result in takeover of JD Edwards EnterpriseOne Tools. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46878
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.