CVE-2026-46889: Kritisk sårbarhed i Oracle Siebel CRM
Kritisk sårbarhed i Oracle Siebel CRM Marketing giver uautoriserede angribere fuld systemadgang via internettet.
Hvad er det?
CVE-2026-46889 er en kritisk sårbarhed i Oracle Siebel CRM’s Marketing-modul. Sårbarheden gør det muligt for en angriber at overtage systemet fuldstændigt uden at have et brugernavn eller adgangskode — blot ved at sende forespørgsler over internettet via HTTP (standardprotokollen for webkommunikation). Fejlen er let at udnytte, kræver ingen særlige tekniske forudsætninger og kræver ikke, at du som bruger klikker på noget. Alle versioner fra 17.0 til 26.5 er ramt.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle Siebel CRM med Marketing-modulet aktiveret — typisk mellemstore og større virksomheder inden for salg, marketing og kundeservice. Hvis jeres Siebel-installation er tilgængelig fra internettet eller fra et netværk uden streng adgangskontrol, er I i særlig risiko. Både on-premise-installationer (systemer I selv drifter) og eksponerede cloud-løsninger kan være sårbare.
Hvad kan ske?
En vellykket udnyttelse af denne sårbarhed kan give angriberen fuld kontrol over jeres Siebel Marketing-system. Det betyder:
- Fortrolighed (C=Høj): Angriberen kan læse alle data i systemet — herunder kundeoplysninger, kampagnedata og kontaktlister.
- Integritet (I=Høj): Angriberen kan ændre eller slette data, manipulere marketingkampagner eller indsætte falske oplysninger.
- Tilgængelighed (A=Høj): Angriberen kan lukke systemet ned, så jeres medarbejdere ikke kan bruge det.
I værste fald kan angrebet bruges som springbræt til at komme videre ind i resten af jeres it-infrastruktur.
Hvor alvorligt er det?
Oracle har tildelt sårbarheden en CVSS-score på 9,8 ud af 10 — kritisk. Det er næsten den højest mulige score. Kombinationen af, at angrebet kan udføres over nettet, ikke kræver login, ikke kræver brugerinteraktion og giver fuld kontrol over systemet, gør dette til en af de mest alvorlige typer sårbarheder. Der er ingen formildende faktorer i den tekniske vurdering.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — ideelt inden for 24-72 timer:
- Kortlæg eksponeringen: Find ud af om jeres Siebel Marketing-system er tilgængeligt fra internettet eller fra netværk uden adgangskontrol. Spørg jeres it-ansvarlige eller leverandør.
- Installer Oracles patch: Oracle har udsendt en sikkerhedsopdatering. Gå til Oracles Critical Patch Update (CPU) for juni 2026 og installer den relevante opdatering til Siebel CRM.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så bloker for ekstern adgang til Siebel Marketing-modulet via jeres firewall (et netværkssikkerhedssystem), indtil opdateringen er installeret.
- Gennemgå logfiler: Bed jeres it-ansvarlige om at gennemgå systemlogfiler for usædvanlig aktivitet tilbage til mindst 30 dage — for at se om nogen allerede har forsøgt at udnytte fejlen.
- Underret relevante parter: Hvis I har mistanke om et brud, skal I følge jeres beredskabsplan og evt. underrette Datatilsynet inden for 72 timer, som GDPR kræver.
Patch inden for 24-72 timer
Med en CVSS-score på 9,8 og ingen krav om hverken login eller brugerinteraktion bør I behandle dette som en akut situation. Installer Oracles officielle patch fra CPU juni 2026 så hurtigt som muligt, og begræns i mellemtiden netværksadgangen til Siebel Marketing. Har I ikke interne ressourcer til at håndtere dette hurtigt, anbefaler vi at kontakte en ekstern it-sikkerhedspartner med det samme.
Tidslinje
Konkrete eksempler
Direkte systemovertagelse via HTTP
En angriber scanner internettet for Siebel Marketing-installationer, der er eksponeret via en offentlig IP-adresse. Uden brug af brugernavn eller adgangskode sender angriberen en særligt udformet HTTP-forespørgsel til Marketing-modulet. Sårbarheden giver angriberen fuld administratoradgang til systemet, hvorfra de kan eksportere hele kundebasen og kampagnehistorik.
Ransomware-angreb via kompromitteret Siebel
En angriber udnytter sårbarheden til at få fodfæste i virksomhedens netværk via Siebel-serveren. Derfra bevæger angriberen sig sideværts (lateral movement) til andre servere og installerer ransomware (software der krypterer data mod løsepenge). Virksomheden mister adgang til både CRM-data og andre forretningskritiske systemer.
Manipulation af marketingkampagner
En konkurrent eller ondsindet aktør udnytter adgangen til at ændre indholdet i planlagte e-mailkampagner i Siebel Marketing — eksempelvis ved at indsætte phishing-links (falske links designet til at narre modtagere) i nyhedsbreve, der sendes ud til tusindvis af kunder. Virksomheden opdager det først, når kunder begynder at klage, og omdømmeskaden er allerede sket.
Ofte stillede spørgsmål
Hvad er Oracle Siebel CRM, og bruger vi det?
Oracle Siebel CRM er et ældre, men stadig udbredt system til håndtering af kunderelationer (CRM = Customer Relationship Management). Det bruges typisk af mellemstore og større virksomheder til at styre salg, kundeservice og marketingkampagner. Spørg jeres it-afdeling eller systemleverandør, om I anvender Siebel — og specifikt om Marketing-modulet er aktiveret.
Er vi i fare, selv om vi ikke bruger Siebel til marketing?
Sårbarheden ligger specifikt i Marketing-komponenten i Siebel CRM. Hvis I har Siebel installeret, men ikke bruger eller har aktiveret Marketing-modulet, er risikoen lavere — men I bør stadig undersøge det og installere patchen, da modulet kan være aktiveret uden at I aktivt bruger det.
Hvad er en patch, og hvordan installerer vi den?
En patch (opdatering) er en softwarerettelse, som producenten — i dette tilfælde Oracle — udgiver for at lukke en sikkerhedsfejl. I finder den via Oracles officielle Critical Patch Update (CPU) for juni 2026 på Oracles supportportal (support.oracle.com). Installation kræver typisk adgang til jeres Siebel-server og bør udføres af en it-ansvarlig eller jeres systemleverandør.
Kan vi se, om nogen allerede har angrebet os?
Det er muligt at spore mistænkelig aktivitet i systemlogfiler, men det kræver teknisk indsigt. Bed jeres it-ansvarlige eller en ekstern sikkerhedskonsulent om at gennemgå logfiler for usædvanlige adgangsforsøg eller unormale API-kald (programforespørgsler) til Marketing-modulet. Jo hurtigere I undersøger det, jo bedre.
Skal vi anmelde et eventuelt brud til Datatilsynet?
Hvis I har rimelig grund til at tro, at personoplysninger er blevet kompromitteret som følge af et angreb, er I efter GDPR forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer. Hvis I er i tvivl, så kontakt jeres databeskyttelsesrådgiver (DPO) eller en juridisk rådgiver hurtigst muligt.
Hvad gør vi, hvis vi ikke kan installere patchen med det samme?
Som en midlertidig foranstaltning bør I straks begrænse netværksadgangen til Siebel Marketing-modulet via jeres firewall, så kun godkendte interne brugere og systemer kan nå det. Denne løsning er ikke en permanent løsning og erstatter ikke patchen — men den reducerer risikoen betydeligt, mens I forbereder opdateringen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Siebel Apps – Marketing product of Oracle Siebel CRM (component: Marketing). Supported versions that are affected are 17.0-26.5. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Siebel Apps – Marketing. Successful attacks of this vulnerability can result in takeover of Siebel Apps – Marketing. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
