CVE-2026-46880
Kritisk

CVE-2026-46880: Kritisk fejl i Oracle JD Edwards

Kritisk sårbarhed i Oracle JD Edwards giver angribere fuld systemadgang uden login – opdater straks.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 72 timer

Hvad er det?

CVE-2026-46880 er en kritisk sikkerhedssårbarhed i Oracle JD Edwards EnterpriseOne Tools – et udbredt ERP-system (virksomhedsstyringssystem) brugt til økonomi, produktion og logistik. Sårbarheden findes i den del af systemet, der håndterer netværkskommunikation via en protokol kaldet JDENET. En angriber kan udnytte fejlen over internettet uden at kende et brugernavn eller adgangskode og uden at kræve nogen handling fra dig eller dine medarbejdere. Resultatet er, at angriberen kan overtage hele JD Edwards-installationen. Alle versioner fra 9.2.0.0 til og med 9.2.26.2 er berørt.

Hvem rammer det?

Sårbarheden rammer virksomheder, der kører Oracle JD Edwards EnterpriseOne Tools i version 9.2.0.0 til 9.2.26.2. Det drejer sig typisk om mellemstore og større produktions-, handels- eller distributionsvirksomheder, der bruger JD Edwards som deres centrale ERP-platform. Risikoen er særlig høj, hvis dit JD Edwards-system er tilgængeligt fra internettet, eller hvis JDENET-porten er eksponeret uden for dit interne netværk.

Hvad kan ske?

En vellykket udnyttelse af sårbarheden giver angriberen fuld kontrol over dit JD Edwards-system. Det betyder konkret:

  • Datatyveri: Angriberen kan tilgå og kopiere alle data – herunder kundeoplysninger, finansielle poster og forretningshemmeligheder.
  • Datamanipulation: Regnskaber, ordrer og lagerbeholdning kan ændres eller slettes uden spor.
  • Driftsstop: Systemet kan lukkes ned eller gøres utilgængeligt, hvilket stopper din virksomheds drift.
  • Videre angreb: Angriberen kan bruge JD Edwards-serveren som springbræt ind i resten af dit netværk.
  • Ransomware: Kriminelle kan kryptere dine data og kræve løsepenge.

Hvor alvorligt er det?

Denne sårbarhed scorer 9,8 ud af 10 på den internationale CVSS-skala og klassificeres som Kritisk. Det er næsten den højest mulige score. Tre faktorer gør den særligt farlig: angriberen behøver ingen adgangskode, angrebet kan udføres direkte over netværket, og det kræver ingen hjælp fra dig eller dine ansatte. Alle tre centrale sikkerhedsmål – fortrolighed, integritet og tilgængelighed – er fuldt kompromitterede ved et vellykket angreb.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for de næste 24-72 timer:

  1. Identificér din version: Find ud af hvilken version af JD Edwards EnterpriseOne Tools din virksomhed kører. Det kan din IT-leverandør eller systemadministrator hjælpe med.
  2. Bloker ekstern adgang midlertidigt: Sørg for, at JDENET-porten (typisk port 6017) ikke er tilgængelig fra internettet. Bed din IT-ansvarlige om at lukke porten i firewallen, indtil en patch er installeret.
  3. Installer Oracles sikkerhedsopdatering: Oracle har udgivet en patch som del af deres Critical Patch Update. Kontakt din Oracle-supportpartner eller log ind på Oracle My Support for at hente og installere opdateringen.
  4. Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke systemlogge for mistænkelig aktivitet, der kan indikere, at nogen allerede har forsøgt at udnytte sårbarheden.
  5. Orienter din IT-leverandør: Hvis du bruger en ekstern IT-partner til drift af JD Edwards, skal du straks kontakte dem og sikre, at de er bekendt med sårbarheden og planlægger opdatering.
Tidsfrist

Opdatér inden for 72 timer

Sådan ser Auroa det

Med en CVSS-score på 9,8 og ingen krav om forudgående adgang er dette en af de mest alvorlige typer sårbarheder, vi ser. Vi anbefaler, at du behandler dette som en akut sikkerhedshændelse og handler i dag. Hvis du ikke selv har ressourcerne til at håndtere opdateringen, så kontakt Auroa – vi kan hjælpe med at vurdere din eksponering og koordinere en sikker opdatering af dit JD Edwards-miljø.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-46880 som del af deres kvartalsvise Critical Patch Update (CPU). Sårbarheden tildeles en CVSS-score på 9,8 og klassificeres som kritisk.
17/06/2026
Patch tilgængelig fra Oracle
Oracle frigiver samtidig med offentliggørelsen en sikkerhedsopdatering, der adresserer sårbarheden. Opdateringen er tilgængelig via Oracle My Support for kunder med aktiv supportaftale.
18/06/2026
Sikkerhedsforskere analyserer sårbarheden
Efter offentliggørelsen begynder sikkerhedsforskere og trusselsaktører at analysere CVE'en. Ved kritiske Oracle-sårbarheder med høj CVSS-score ses proof-of-concept kode typisk inden for 1-7 dage.
20/06/2026
Forventet exploitattempts i det fri
Baseret på historisk mønster for kritiske Oracle ERP-sårbarheder forventes aktive udnyttelsesforsøg mod upatchede systemer inden for de første 3-7 dage efter offentliggørelse.
16/09/2026
Næste Oracle CPU
Oracles næste planlagte Critical Patch Update forventes i september 2026. Systemer der endnu ikke er opdateret vil fortsat være sårbare frem til da – og bør opdateres straks og ikke afvente denne dato.

Konkrete eksempler

Direkte overtagelse via eksponeret JDENET-port

En angriber scanner internettet efter virksomheder med åben JDENET-port (typisk port 6017). De finder din JD Edwards-server og sender et særligt udformet netværkskald, der udnytter fejlen i Enterprise Infrastructure Security-komponenten. Inden for minutter har angriberen fuld administratoradgang til systemet – uden at kende et eneste brugernavn eller kodeord. De eksporterer herefter jeres komplette kundeliste og finansielle data.

Ransomware-angreb via JD Edwards som indgangspunkt

En kriminel gruppe udnytter sårbarheden til at få fodfæste på JD Edwards-serveren. Derfra bevæger de sig videre ind på det interne netværk, installerer ransomware på kritiske systemer og krypterer alt data – herunder ERP-databasen, backupfiler og fælles drev. Virksomheden modtager et krav om løsepenge svarende til flere hundredetusinde kroner for at få adgangen tilbage.

Manipulation af finansielle data og ordrer

En angriber – måske en konkurrent eller en utilfreds forhenværende medarbejder – udnytter sårbarheden til at logge ind i JD Edwards uden legitimation. De ændrer priser i ordresystemet, sletter leverandørfakturaer eller manipulerer lageroptællingen. Skaden opdages først uger senere under en revision, og virksomheden har svært ved at rekonstruere de korrekte data.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the JD Edwards EnterpriseOne Tools product of Oracle JD Edwards (component: Enterprise Infrastructure Security). Supported versions that are affected are 9.2.0.0-9.2.26.2. Easily exploitable vulnerability allows unauthenticated attacker with network access via JDENET to compromise JD Edwards EnterpriseOne Tools. Successful attacks of this vulnerability can result in takeover of JD Edwards EnterpriseOne Tools. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46880
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.