CVE-2026-46935: Sårbarhed i Oracle E-Business Suite
Kritisk sårbarhed i Oracle E-Business Suite kan give angribere fuld kontrol over dit vedligeholdelsessystem.
Hvad er det?
CVE-2026-46935 er en sårbarhed i Oracle E-Business Suite, nærmere bestemt i modulet Complex Maintenance, Repair and Overhaul (CMRO) — det modul der håndterer intern drift, vedligehold og reparationsprocesser. En angriber med adgang til systemet via internettet (HTTP) kan under de rette omstændigheder overtage hele modulet. Sårbarheden kræver et lavt niveau af forudgående adgang, men er teknisk svær at udnytte, hvilket er årsagen til at den ikke scorer maksimalt. Berørte versioner er 12.2.3 til og med 12.2.15.
Hvem rammer det?
Sårbarheden rammer virksomheder der bruger Oracle E-Business Suite med modulet Complex Maintenance, Repair and Overhaul (CMRO) i version 12.2.3–12.2.15. Det er typisk mellemstore og større virksomheder inden for produktion, luftfart, forsvar, forsyning eller andre brancher med komplekse vedligeholdsprocesser. Hvis din virksomhed bruger Oracle EBS til at styre reparationer, serviceopgaver eller driftsovervågning, bør du undersøge om I er berørt.
Hvad kan ske?
En vellykket udnyttelse af sårbarheden kan give en angriber fuld kontrol over CMRO-modulet. Det betyder at angriberen potentielt kan:
- Læse og stjæle fortrolige drifts- og vedligeholdelsesdata
- Ændre eller slette kritiske vedligeholdelsesregistreringer
- Gøre systemet utilgængeligt for jeres medarbejdere (nedbrud)
- Bruge det kompromitterede modul som indgangsvinkel til resten af Oracle EBS
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.5 ud af 10, hvilket klassificeres som alvorlig (High). Alle tre kerneområder — fortrolighed, integritet og tilgængelighed — påvirkes maksimalt ved et vellykket angreb. Det dæmpende element er, at angrebet er teknisk komplekst at gennemføre (høj angrebskompleksitet), og at angriberen skal have en vis form for adgang i forvejen. Det betyder at tilfældige, automatiserede angreb er mindre sandsynlige — men målrettede angreb fra motiverede aktører er stadig en reel risiko.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Identificér om I er berørt: Kontakt jeres Oracle-administrator eller IT-leverandør og få bekræftet hvilken version af Oracle E-Business Suite I kører, og om CMRO-modulet er aktivt.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver Critical Patch Updates (CPU) kvartalsvist. Sørg for at den relevante patch fra juli 2026-cyklussen installeres hurtigst muligt.
- Begræns netværksadgang: Mens I venter på at patchen installeres, kan I overveje at begrænse adgangen til CMRO-modulet til kendte IP-adresser via firewall (en slags digital dørpolitik).
- Gennemgå brugerrettigheder: Reducér antallet af brugere med adgang til CMRO til det absolut nødvendige — angriberen skal have en lav-privilegeret konto for at udnytte sårbarheden.
- Overvåg aktivitet: Aktivér logning og overvågning af aktivitet i CMRO-modulet, så unormal adfærd opdages hurtigt.
Patch snarest — inden for 30 dage
Vi anbefaler at du prioriterer at få installeret Oracles seneste Critical Patch Update, som adresserer denne sårbarhed. Kontakt jeres Oracle-leverandør eller interne IT-afdeling allerede denne uge og få en konkret plan for patchning. I mellemtiden bør I som minimum begrænse netværksadgangen til CMRO og gennemgå hvem der har brugeradgang til modulet. Selvom angrebet er teknisk kompliceret, er konsekvenserne ved et kompromitteret system for alvorlige til at vente.
Tidslinje
Konkrete eksempler
Intern medarbejder med ondsindede hensigter
En utilfreds medarbejder med en almindelig brugerkonto i Oracle EBS benytter sin netværksadgang til at udnytte sårbarheden i CMRO-modulet. Via en serie af særligt udformede HTTP-forespørgsler opnår medarbejderen administratorrettigheder og sletter eller manipulerer vedligeholdelsesregistreringer — potentielt med alvorlige driftsmæssige konsekvenser til følge.
Angriber der har kompromitteret en medarbejderkonto
En ekstern angriber har via phishing (falske e-mails) stjålet loginoplysningerne til en medarbejder med adgang til Oracle EBS. Med denne konto tilgår angriberen CMRO-modulet over internettet og udnytter sårbarheden til at overtage systemet. Angriberen kan herefter eksportere fortrolige driftsdata eller installere bagdøre til fremtidige angreb.
Ransomware-angreb via EBS-modul
En kriminel gruppe der har fået fodfæste i virksomhedens netværk bruger CVE-2026-46935 til at eskalere deres adgang i Oracle EBS. Fra CMRO-modulet spreder de sig til andre dele af EBS-systemet og installerer ransomware (software der låser data og kræver løsesum), hvilket lammet virksomhedens drift indtil løsesummen betales eller data gendannes fra backup.
Ofte stillede spørgsmål
Bruger vi overhovedet det berørte modul?
Det afhænger af jeres Oracle EBS-konfiguration. CMRO (Complex Maintenance, Repair and Overhaul) er et specialmodul til virksomheder med komplekse vedligeholdsprocesser — typisk inden for produktion, luftfart eller forsyning. Kontakt jeres Oracle-administrator eller IT-leverandør og bed dem tjekke om CMRO er aktiveret i jeres installation, og hvilken version I kører.
Er vi i fare selvom vi ikke er på internettet med systemet?
Angrebet sker via netværk (HTTP), så hvis Oracle EBS udelukkende kører på et lukket internt netværk uden adgang fra internettet, er risikoen markant lavere. Dog kræver angrebet kun at angriberen har netværksadgang — en intern medarbejder med ondsindede hensigter eller en angriber der allerede er kommet ind på jeres netværk, kan potentielt udnytte sårbarheden. Opdatering anbefales uanset hvad.
Hvad er en Critical Patch Update (CPU) fra Oracle?
Oracle udgiver fire gange om året en samlet pakke af sikkerhedsopdateringer kaldet Critical Patch Update. Det svarer lidt til Microsofts månedlige opdateringer, bare kvartalsvist. CPU’en indeholder rettelser til kendte sårbarheder på tværs af Oracles produkter. Jeres Oracle-leverandør eller administrator kan hjælpe med at installere den relevante CPU.
Kan vi vente med at opdatere til næste planlagte vedligeholdsvindue?
Det afhænger af jeres risikovurdering. Sårbarheden er alvorlig (score 7.5), men kræver høj teknisk kompleksitet at udnytte og forudsætter at angriberen allerede har en brugerkonto. Hvis I ikke har kendskab til aktiv udnyttelse, og I implementerer midlertidige beskyttelsesforanstaltninger som netværksbegrænsning og brugergennemgang, kan et kort vindue være acceptabelt. Vi anbefaler dog at holde det inden for 30 dage.
Hvad sker der hvis vi ikke gør noget?
Hvis sårbarheden ikke patches, risikerer I at en angriber med adgang til systemet kan overtage CMRO-modulet fuldstændigt. Det kan betyde tab af fortrolige driftsdata, manipulation af vedligeholdelsesregistreringer og systemnedbrud. Dertil kommer risikoen for at angrebet spreder sig til andre dele af Oracle EBS. Jo længere I venter, jo større er sandsynligheden for at nogen finder og udnytter sårbarheden.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Complex Maintenance, Repair and Overhaul product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Complex Maintenance, Repair and Overhaul. Successful attacks of this vulnerability can result in takeover of Oracle Complex Maintenance, Repair and Overhaul. CVSS 3.1 Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
