CVE-2026-46938: Sårbarhed i Oracle E-Business Suite
Kritisk sårbarhed i Oracle E-Business Suite giver angribere fuld kontrol over dit omkostningsstyringssystem via internettet.
Hvad er det?
CVE-2026-46938 er en sårbarhed i modulet Cost Management (omkostningsstyring) i Oracle E-Business Suite — et udbredt ERP-system (virksomhedssoftware til økonomi, indkøb og produktion). Sårbarheden gør det muligt for en angriber, der allerede har adgang til en administratorkonto, at overtage hele Cost Management-modulet via en normal internetforbindelse. Oracle har selv vurderet den til at have alvorlighedsgrad 7.2 ud af 10. Berørte versioner er 12.2.3 til og med 12.2.15.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Cost Management aktiveret. Det er typisk mellemstore og større produktions-, handels- eller servicevirksomheder, der bruger Oracle EBS til at styre indkøb, produktion og økonomi. Har du outsourcet dit ERP-system til en leverandør, bør du kontakte dem straks for at afklare, om I er berørt.
Hvad kan ske?
En angriber, der har fået fat i en administratorkonto (f.eks. via phishing eller et lækket kodeord), kan udnytte sårbarheden til at overtage Cost Management-modulet fuldstændigt. Det betyder, at angriberen kan:
- Læse fortrolige omkostnings- og prisdata
- Ændre eller slette finansielle data og produktionsplaner
- Lamme systemet, så medarbejdere ikke kan arbejde
- Bruge adgangen som springbræt til andre dele af dit ERP-system
Hvor alvorligt er det?
Oracle har tildelt sårbarheden en CVSS-score på 7.2 ud af 10, hvilket klassificeres som alvorlig. Angrebskompleksiteten er lav — det er nemt at udnytte, hvis man først har adgang til en administratorkonto. Konsekvenserne rammer alle tre grundpiller i cybersikkerhed: fortrolighed, integritet og tilgængelighed er alle vurderet til høj risiko. Det kræver dog høje rettigheder (administratoradgang) at udnytte den, hvilket reducerer risikoen en smule sammenlignet med sårbarheder, der kan udnyttes af alle.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, helst inden for de næste 7 dage:
- Afklar om I er berørt: Tjek med din IT-ansvarlige eller Oracle-leverandør, hvilken version af Oracle E-Business Suite I kører, og om Cost Management-modulet er aktiveret.
- Installer Oracles patch: Oracle udsendte en patch som del af deres Critical Patch Update i juli 2026. Sørg for at denne er installeret på alle berørte systemer.
- Gennemgå administratorkonti: Skift kodeord på alle Oracle EBS-administratorkonti og fjern adgang for brugere, der ikke længere har brug for det.
- Aktiver logning og overvågning: Sørg for, at adgang til Cost Management-modulet logges, så I kan opdage mistænkelig aktivitet.
- Kontakt din leverandør: Bruger I en ekstern partner til drift af Oracle EBS, skal du sikre dig skriftlig bekræftelse på, at patchen er installeret.
Patch inden for 7 dage
Selvom sårbarheden kræver administratoradgang for at blive udnyttet, bør du ikke undervurdere risikoen — kompromitterede administratorkonti er en af de hyppigste indgange i virksomhedsangreb. Vi anbefaler, at du straks verificerer, om din version af Oracle EBS er berørt, og sørger for at Oracles seneste Critical Patch Update er installeret. Kombinér dette med en gennemgang af, hvem der har administratoradgang til systemet, og overvej at indføre multifaktorgodkendelse (MFA) på alle privilegerede konti.
Tidslinje
Konkrete eksempler
Phishet administratorkonto giver fuld adgang
En angriber sender en overbevisende phishing-mail til en af jeres Oracle EBS-administratorer. Administratoren klikker på et link og indtaster sine loginoplysninger på en falsk side. Angriberen bruger nu de stjålne oplysninger til at logge ind på jeres Oracle EBS via internettet og udnytter CVE-2026-46938 til at overtage Cost Management-modulet — uden at I opdager det med det samme.
Manipulation af kostpriser og finansielle data
Med fuld kontrol over Cost Management kan en angriber ændre kostpriser, produktionsomkostninger eller lagerværdier i systemet. Det kan føre til fejlagtige regnskaber, forkerte beslutningsgrundlag og i værste fald tab af troværdighed over for revisorer, banker eller investorer — uden at manipulationen opdages med det samme.
Ransomware-angreb via kompromitteret ERP-adgang
En angriber, der har overtaget en administratorkonto og udnyttet sårbarheden, kan bruge adgangen til at plante ransomware (afpresningssoftware) i virksomhedens ERP-system. Systemet krypteres og låses, og angriberen kræver løsepenge for at gendanne adgangen. Produktionen eller den daglige drift kan gå helt i stå, indtil situationen er løst.
Ofte stillede spørgsmål
Skal vi være bekymrede, selvom vi ikke har haft mistænkelig aktivitet?
Ja — mange angreb foregår uden synlige spor i starten. Bare fordi I ikke har opdaget noget usædvanligt, betyder det ikke, at I er sikre. Det vigtigste er at få installeret patchen og gennemgå adgangsrettigheder, så I lukker hullet, inden det bliver udnyttet.
Vi har outsourcet vores Oracle EBS til en IT-leverandør. Er vi stadig ansvarlige?
Ja, som virksomhed bærer I det overordnede ansvar for sikkerheden i jeres systemer — også når de drives af en ekstern leverandør. Kontakt leverandøren omgående og bed om skriftlig bekræftelse på, at patchen er installeret og at berørte versioner er opdateret.
Hvad er Oracle Critical Patch Update (CPU)?
Oracle udgiver fire gange om året en samlet pakke af sikkerhedsrettelser kaldet Critical Patch Update (CPU). Den indeholder rettelser til kendte sårbarheder på tværs af alle Oracles produkter. Det er vigtigt at installere disse opdateringer regelmæssigt for at holde systemerne sikre.
Angriberen skal have en administratorkonto — er vi ikke beskyttet, hvis vores konti er sikre?
Stærke adgangskoder og MFA reducerer risikoen markant, men eliminerer den ikke helt. Administratorkonti kan kompromitteres via phishing, datalækager fra andre systemer eller interne trusler. Derfor er det vigtigt både at beskytte kontiene og installere patchen.
Hvad sker der, hvis vi ikke patcher?
Vælger I ikke at opdatere, forbliver hullet åbent. Skulle en angriber få fat i en administratorkonto — f.eks. via phishing — kan de overtage jeres Cost Management-modul, stjæle data, manipulere finansielle registreringer eller lamme systemet. Det kan få alvorlige konsekvenser for både drift og økonomi.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Cost Management product of Oracle E-Business Suite (component: Cost Planning). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle Cost Management. Successful attacks of this vulnerability can result in takeover of Oracle Cost Management. CVSS 3.1 Base Score 7.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
