CVE-2026-46937
Alvorlig

CVE-2026-46937: Alvorlig fejl i Oracle iSetup

Kritisk fejl i Oracle iSetup giver angribere med almindelig brugeradgang fuld kontrol over systemet via internettet.

CVSS Score
8.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 1-2 uger

Hvad er det?

CVE-2026-46937 er en alvorlig sikkerhedsfejl i Oracle iSetup, som er en del af Oracle E-Business Suite — et udbredt ERP-system (forretningssystem til økonomi, indkøb og drift). Fejlen findes specifikt i komponenten General Ledger Update Transform og Reports, som håndterer regnskabsdata og rapporter.

Problemet er, at en angriber med blot en almindelig brugerkonto i systemet kan udnytte fejlen over internettet uden yderligere hjælp fra andre brugere. Det kan give angriberen fuld kontrol over Oracle iSetup-installationen. Berørte versioner er 12.2.3 til og med 12.2.15.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Oracle iSetup aktivt. Det gælder typisk:

  • Mellemstore og større virksomheder med Oracle ERP-løsninger til økonomi og regnskab
  • Virksomheder der har Oracle E-Business Suite tilgængeligt via netværk eller internet
  • Organisationer hvor medarbejdere, underleverandører eller eksterne konsulenter har brugerkonti i systemet

Har du ikke Oracle E-Business Suite, er du ikke berørt af denne sårbarhed.

Hvad kan ske?

Hvis en angriber udnytter denne fejl, kan konsekvenserne være alvorlige:

  • Fuld systemovertagelse: Angriberen kan overtage kontrollen over Oracle iSetup-installationen og handle på systemets vegne.
  • Datalæk: Følsomme regnskabsdata, finansielle rapporter og virksomhedsoplysninger kan blive stjålet (høj fortrolighed).
  • Datamanipulation: Angriberen kan ændre eller slette regnskabsdata og konfigurationer (høj integritetspåvirkning).
  • Driftsforstyrrelse: Systemet kan gøres utilgængeligt, hvilket kan lamme regnskabs- og rapporteringsprocesser (høj tilgængelighedspåvirkning).

Det kræver kun en lav brugeradgang at starte angrebet — ikke administratorrettigheder.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 8.8 ud af 10, hvilket klassificeres som alvorlig (high). Det skyldes en kombination af faktorer der gør den særlig farlig:

  • Lav angrebskompleksitet: Angrebet er let at udføre — ingen avancerede færdigheder kræves.
  • Kun lav adgang nødvendig: En almindelig brugerkonto er nok til at starte angrebet.
  • Ingen brugerinteraktion: Offeret behøver ikke klikke på noget eller åbne en fil.
  • Fuld CIA-påvirkning: Alle tre sikkerhedsparametre — fortrolighed, integritet og tilgængelighed — er maksimalt påvirket.

Sårbarheden anses for let udnyttelig og bør behandles med høj prioritet.

Hvad gør jeg nu?

Hvis din virksomhed bruger Oracle E-Business Suite, bør du straks tage følgende skridt:

  1. Afklar om du er berørt: Tjek med din IT-ansvarlige eller Oracle-leverandør, om I bruger Oracle iSetup i version 12.2.3–12.2.15.
  2. Hent og installer Oracles patch: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU). Sørg for at installere den relevante opdatering hurtigst muligt.
  3. Begræns netværksadgang midlertidigt: Hvis en patch ikke kan installeres straks, bør du overveje at begrænse adgangen til Oracle iSetup fra offentlige netværk, til opdateringen er på plads.
  4. Gennemgå brugerkonti: Undersøg hvem der har adgang til Oracle iSetup og fjern konti der ikke længere er i brug eller ikke har behov for adgang.
  5. Kontakt din Oracle-support eller IT-partner: Få professionel hjælp til at vurdere omfanget og sikre korrekt opdatering og konfiguration.
Tidsfrist

Opdater inden for 1-2 uger

Sådan ser Auroa det

Vi anbefaler, at du prioriterer denne opdatering højt og installerer Oracles officielle patch så hurtigt som muligt — helst inden for de næste 1-2 uger. Sårbarheden er let at udnytte og kræver kun en almindelig brugerkonto, hvilket betyder at truslen er reel selv fra interne brugere eller kompromitterede konti. Kontakt din IT-leverandør eller Oracles support for at planlægge en kontrolleret opdatering, og overvej at begrænse ekstern adgang til systemet i mellemtiden.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle og NVD
Oracle offentliggjorde CVE-2026-46937 som en del af deres Critical Patch Update (CPU) i juni 2026. Sårbarheden fik en CVSS-score på 8.8 og klassificeres som alvorlig.
17/06/2026
Officiel patch frigivet af Oracle
Oracle frigav en sikkerhedsopdatering til de berørte versioner (12.2.3–12.2.15) som del af den kvartalsvise CPU-udgivelse. Virksomheder opfordres til at installere opdateringen straks.
18/06/2026
Tekniske detaljer tilgængelige — proof-of-concept forventet
Efter offentliggørelsen af CPU-opdateringen begynder sikkerhedsforskere typisk at analysere de beskrevne sårbarheder. For let udnyttelige fejl som denne ses proof-of-concept-kode ofte inden for dage til uger.
30/06/2026
Kritisk tidsfrist: patch bør være installeret
Baseret på sårbarhedens alvorlighed og lave angrebskompleksitet anbefaler Auroa, at alle berørte virksomheder har installeret opdateringen senest ved udgangen af juni 2026.

Konkrete eksempler

Tidligere konsulent udnytter gammel brugerkonto

En tidligere ekstern revisor har fået oprettet en brugerkonto i Oracle iSetup under et projekt, men kontoen er aldrig blevet lukket. Angriberen — eller en person der har stjålet konsulentens loginoplysninger — logger ind via virksomhedens Oracle-webportal og udnytter fejlen til at eskalere sine rettigheder og overtage systemet. Herefter kan angriberen eksportere alle regnskabsrapporter og ændre finansielle posteringer.

Medarbejder med lav adgang kompromitterer hele iSetup

En medarbejder i en supportfunktion har adgang til Oracle iSetup med begrænsede rettigheder. Ved at sende en særligt udformet HTTP-forespørgsel til systemets General Ledger-komponent kan medarbejderen — eller en angriber der har overtaget medarbejderens konto via phishing — udnytte fejlen og opnå fuld administratorkontrol. Derfra kan angriberen deaktivere revisionslogning og ændre data uden at efterlade spor.

Automatiseret angreb via internet-eksponeret Oracle-installation

En virksomhed har Oracle E-Business Suite tilgængeligt via internettet for at give medarbejdere hjemmeadgang. En automatiseret scanner opdager installationen og tester kendte sårbarheder. Med en testbrugerkonto — som måske er standard eller oprettet til demonstrationsformål — udnytter angrebsværktøjet CVE-2026-46937 og overtager iSetup-installationen. Angrebet tager under et minut og kræver ingen menneskelig interaktion fra offeret.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle iSetup product of Oracle E-Business Suite (component: General Ledger Update Transform, Reports). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle iSetup. Successful attacks of this vulnerability can result in takeover of Oracle iSetup. CVSS 3.1 Base Score 8.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46937
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 1-2 uger

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.