CVE-2026-46935
Alvorlig

CVE-2026-46935: Sårbarhed i Oracle E-Business Suite

Kritisk sårbarhed i Oracle E-Business Suite kan give angribere fuld kontrol over dit vedligeholdelsessystem.

CVSS Score
7.5
Offentliggjort
17/06/2026
Patch-status
available
Exploit
none_known
Tidsfrist
Patch snarest — inden for 30 dage

Hvad er det?

CVE-2026-46935 er en sårbarhed i Oracle E-Business Suite, nærmere bestemt i modulet Complex Maintenance, Repair and Overhaul (CMRO) — det modul der håndterer intern drift, vedligehold og reparationsprocesser. En angriber med adgang til systemet via internettet (HTTP) kan under de rette omstændigheder overtage hele modulet. Sårbarheden kræver et lavt niveau af forudgående adgang, men er teknisk svær at udnytte, hvilket er årsagen til at den ikke scorer maksimalt. Berørte versioner er 12.2.3 til og med 12.2.15.

Hvem rammer det?

Sårbarheden rammer virksomheder der bruger Oracle E-Business Suite med modulet Complex Maintenance, Repair and Overhaul (CMRO) i version 12.2.3–12.2.15. Det er typisk mellemstore og større virksomheder inden for produktion, luftfart, forsvar, forsyning eller andre brancher med komplekse vedligeholdsprocesser. Hvis din virksomhed bruger Oracle EBS til at styre reparationer, serviceopgaver eller driftsovervågning, bør du undersøge om I er berørt.

Hvad kan ske?

En vellykket udnyttelse af sårbarheden kan give en angriber fuld kontrol over CMRO-modulet. Det betyder at angriberen potentielt kan:

  • Læse og stjæle fortrolige drifts- og vedligeholdelsesdata
  • Ændre eller slette kritiske vedligeholdelsesregistreringer
  • Gøre systemet utilgængeligt for jeres medarbejdere (nedbrud)
  • Bruge det kompromitterede modul som indgangsvinkel til resten af Oracle EBS

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.5 ud af 10, hvilket klassificeres som alvorlig (High). Alle tre kerneområder — fortrolighed, integritet og tilgængelighed — påvirkes maksimalt ved et vellykket angreb. Det dæmpende element er, at angrebet er teknisk komplekst at gennemføre (høj angrebskompleksitet), og at angriberen skal have en vis form for adgang i forvejen. Det betyder at tilfældige, automatiserede angreb er mindre sandsynlige — men målrettede angreb fra motiverede aktører er stadig en reel risiko.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Identificér om I er berørt: Kontakt jeres Oracle-administrator eller IT-leverandør og få bekræftet hvilken version af Oracle E-Business Suite I kører, og om CMRO-modulet er aktivt.
  2. Installer Oracles sikkerhedsopdatering: Oracle udgiver Critical Patch Updates (CPU) kvartalsvist. Sørg for at den relevante patch fra juli 2026-cyklussen installeres hurtigst muligt.
  3. Begræns netværksadgang: Mens I venter på at patchen installeres, kan I overveje at begrænse adgangen til CMRO-modulet til kendte IP-adresser via firewall (en slags digital dørpolitik).
  4. Gennemgå brugerrettigheder: Reducér antallet af brugere med adgang til CMRO til det absolut nødvendige — angriberen skal have en lav-privilegeret konto for at udnytte sårbarheden.
  5. Overvåg aktivitet: Aktivér logning og overvågning af aktivitet i CMRO-modulet, så unormal adfærd opdages hurtigt.
Tidsfrist

Patch snarest — inden for 30 dage

Sådan ser Auroa det

Vi anbefaler at du prioriterer at få installeret Oracles seneste Critical Patch Update, som adresserer denne sårbarhed. Kontakt jeres Oracle-leverandør eller interne IT-afdeling allerede denne uge og få en konkret plan for patchning. I mellemtiden bør I som minimum begrænse netværksadgangen til CMRO og gennemgå hvem der har brugeradgang til modulet. Selvom angrebet er teknisk kompliceret, er konsekvenserne ved et kompromitteret system for alvorlige til at vente.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-46935 som en del af deres kvartalsvise Critical Patch Update-cyklus. Sårbarheden tildeles CVSS-score 7.5 (alvorlig).
17/06/2026
Patch frigivet af Oracle
Oracle frigiver sikkerhedsopdatering til berørte versioner (12.2.3–12.2.15) som en del af Critical Patch Update. Virksomheder kan nu installere rettelsen.
18/06/2026
Sårbarhed indekseret i NVD
Den amerikanske nationale sårbarhedsdatabase (NVD) registrerer og publicerer detaljerne om CVE-2026-46935, hvilket øger offentlighedens kendskab til problemet.
17/07/2026
Anbefalet patch-deadline
Auroras anbefaling: Alle berørte virksomheder bør have installeret sikkerhedsopdateringen senest 30 dage efter offentliggørelse for at minimere risikoen for udnyttelse.

Konkrete eksempler

Intern medarbejder med ondsindede hensigter

En utilfreds medarbejder med en almindelig brugerkonto i Oracle EBS benytter sin netværksadgang til at udnytte sårbarheden i CMRO-modulet. Via en serie af særligt udformede HTTP-forespørgsler opnår medarbejderen administratorrettigheder og sletter eller manipulerer vedligeholdelsesregistreringer — potentielt med alvorlige driftsmæssige konsekvenser til følge.

Angriber der har kompromitteret en medarbejderkonto

En ekstern angriber har via phishing (falske e-mails) stjålet loginoplysningerne til en medarbejder med adgang til Oracle EBS. Med denne konto tilgår angriberen CMRO-modulet over internettet og udnytter sårbarheden til at overtage systemet. Angriberen kan herefter eksportere fortrolige driftsdata eller installere bagdøre til fremtidige angreb.

Ransomware-angreb via EBS-modul

En kriminel gruppe der har fået fodfæste i virksomhedens netværk bruger CVE-2026-46935 til at eskalere deres adgang i Oracle EBS. Fra CMRO-modulet spreder de sig til andre dele af EBS-systemet og installerer ransomware (software der låser data og kræver løsesum), hvilket lammet virksomhedens drift indtil løsesummen betales eller data gendannes fra backup.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Complex Maintenance, Repair and Overhaul product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Complex Maintenance, Repair and Overhaul. Successful attacks of this vulnerability can result in takeover of Oracle Complex Maintenance, Repair and Overhaul. CVSS 3.1 Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-46935
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
none_known
Patch-status
available
Tidsfrist
Patch snarest — inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.