CVE-2026-46887
Kritisk

CVE-2026-46887: Kritisk fejl i Oracle Siebel CRM

Kritisk sårbarhed i Oracle Siebel CRM-marketing giver angribere fuld kontrol uden login – opdater straks.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch straks – senest inden for 48 timer

Hvad er det?

En kritisk sårbarhed er opdaget i Oracle Siebel CRM – Marketing-modulet. Siebel CRM er et system mange virksomheder bruger til at styre kunderelationer og marketingkampagner.

Sårbarheden gør det muligt for en angriber at overtage hele Marketing-modulet via internettet – uden at kende et brugernavn eller adgangskode. Det kræver heller ikke, at en bruger klikker på noget mistænkeligt. Angriberen sender blot en særligt udformet forespørgsel til systemet over HTTP (den protokol, hjemmesider og webtjenester kommunikerer via).

Alle versioner fra 17.0 til og med 26.5 er berørte.

Hvem rammer det?

Sårbarheden rammer virksomheder der bruger Oracle Siebel CRM med Marketing-modulet aktiveret, i versioner 17.0 til 26.5. Det drejer sig typisk om mellemstore og større virksomheder inden for handel, finans, telekommunikation og produktion, der anvender Siebel til kampagnestyring og kundekommunikation.

Hvis dit Siebel-system er tilgængeligt fra internettet – eller fra et netværk hvortil uautoriserede kan få adgang – er risikoen særligt høj. Systemer der kun er tilgængelige internt og bag en firewall har en lidt lavere angrebsflade, men er ikke immune.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende opnå fuld kontrol over Siebel Marketing-modulet. Det betyder i praksis:

  • Datalæk: Angriberen kan læse og eksportere følsomme kundedata, kampagneoplysninger og forretningskritisk information.
  • Datamanipulation: Indhold i systemet kan ændres eller slettes – fx kampagner, kontaktlister og rapporter.
  • Systemnedbrud: Angriberen kan gøre modulet utilgængeligt (nedbrud), hvilket stopper igangværende marketingaktiviteter.
  • Springbræt til resten af netværket: Et kompromitteret CRM-system kan bruges som indgang til andre systemer i virksomheden.

Hvor alvorligt er det?

Denne sårbarhed har fået den højest mulige CVSS-score på 9,8 ud af 10 – Kritisk. Det afspejler, at:

  • Angrebet kan udføres over internettet uden særlige forudsætninger.
  • Der kræves ingen adgangskode eller login.
  • Der kræves ingen handling fra en bruger – angriberen handler alene.
  • Konsekvenserne rammer fortrolighed, integritet og tilgængelighed på højeste niveau.

Det er sjældent, at alle disse faktorer er til stede på én gang. Denne sårbarhed er derfor i den absolutte topkategori af risici og bør behandles med tilsvarende prioritet.

Hvad gør jeg nu?

Hvis din virksomhed bruger Oracle Siebel CRM med Marketing-modulet, skal du handle nu. Følg disse trin:

  1. Find ud af hvilken version I bruger: Bed din IT-ansvarlige eller leverandør om at tjekke versionen af Siebel CRM. Er den mellem 17.0 og 26.5, er I berørt.
  2. Installer Oracles sikkerhedspatch: Oracle udgiver patches via deres Critical Patch Update (CPU)-program. Tjek Oracles officielle supportportal og anvend den relevante patch for jeres version hurtigst muligt.
  3. Begræns adgangen midlertidigt: Hvis I ikke kan patche med det samme, bør I overveje at blokere ekstern adgang til Siebel Marketing-modulet via jeres firewall, indtil patchen er installeret.
  4. Gennemgå adgangslogge: Bed IT om at gennemse systemlogge for usædvanlig aktivitet de seneste uger – specielt ukendte IP-adresser eller uventede datahentninger.
  5. Kontakt jeres IT-leverandør: Har I outsourcet driften af Siebel, skal I straks kontakte leverandøren og bede om en tidsplan for opdatering.
Tidsfrist

Patch straks – senest inden for 48 timer

Sådan ser Auroa det

Auroa anbefaler, at du behandler denne sårbarhed som en akut hændelse og sætter en patch i gang inden for de næste 48 timer. Hvis det ikke er muligt at opdatere med det samme, bør adgangen til Siebel Marketing-modulet afskæres fra internettet som en midlertidig foranstaltning. Lad ikke systemet stå eksponeret, mens I planlægger opdateringen – en angriber behøver ikke lang tid. Kontakt os gerne, hvis I har brug for hjælp til at vurdere jeres eksponering eller prioritere indsatsen.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle og NVD
Oracle offentliggjorde sårbarheden som en del af deres kvartalsvise Critical Patch Update (CPU). NVD tildelte en CVSS-score på 9,8 – Kritisk.
17/06/2026
Patch frigivet af Oracle
Oracle frigav sikkerhedsopdateringen til berørte versioner (17.0–26.5) som en del af den samme CPU-udgivelse. Opdateringen er tilgængelig via Oracles supportportal.
18/06/2026
Sikkerhedsforskere begynder analyse
Efter offentliggørelsen begyndte sikkerhedsforskere og trusselsaktører at analysere de tekniske detaljer. Sårbarheder med CVSS 9.8 og netværksbaseret angrebsvektor tiltrækker typisk hurtigt opmærksomhed fra angribere.
19/06/2026
Proof-of-concept forventet offentliggjort
Erfaringer fra lignende kritiske Oracle-sårbarheder viser, at fungerende proof-of-concept-kode (eksempelkode der demonstrerer angrebet) typisk dukker op inden for 48-72 timer efter offentliggørelse.
09/07/2026
Virksomheder opfordres til at patche
Sikkerhedsmyndigheder og Oracle anbefaler alle berørte kunder at installere patchen hurtigst muligt. Jo længere systemet er ubeskyttet, jo større er risikoen for aktivt misbrug.

Konkrete eksempler

Direkte datatyveri via ubeskyttet API

En angriber identificerer via en almindelig internetsøgning (fx Shodan) at en virksomheds Siebel Marketing-modul er tilgængeligt fra internettet. Uden brug af brugernavn eller adgangskode sender angriberen en særligt udformet HTTP-forespørgsel og opnår administratoradgang. Herfra eksporteres hele kundelisten med kontaktoplysninger, som efterfølgende sælges eller bruges til phishingangreb.

Ransomware-angreb via CRM-systemet

En kriminell gruppe udnytter sårbarheden til at få fodfæste i Siebel Marketing-modulet. Derfra bevæger de sig videre til andre systemer på virksomhedens netværk (lateral bevægelse) og installerer ransomware (software der krypterer filer og kræver løsesum). Virksomheden oplever total driftsstop og modtager et krav om betaling for at få adgang til sine data igen.

Manipulation af marketingkampagner

En konkurrent eller sabotør udnytter sårbarheden til at logge ind i Marketing-modulet og ændre indholdet i planlagte e-mailkampagner. Tusindvis af kunder modtager forkerte eller skadelige budskaber i virksomhedens navn, hvilket skader omdømmet og kan udløse GDPR-bøder (bøder under EU’s databeskyttelsesregler) for uautoriseret behandling af persondata.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Siebel Apps – Marketing product of Oracle Siebel CRM (component: Marketing). Supported versions that are affected are 17.0-26.5. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Siebel Apps – Marketing. Successful attacks of this vulnerability can result in takeover of Siebel Apps – Marketing. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46887
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch straks – senest inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.