CVE-2026-46939
Alvorlig

CVE-2026-46939: Kritisk fejl i Oracle E-Business Suite

Kritisk fejl i Oracle E-Business Suite giver angribere fuld adgang til at læse og ændre forretningsdata via internettet.

CVSS Score
8.1
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 14 dage

Hvad er det?

CVE-2026-46939 er en sikkerhedsfejl i modulet Configure to Order (CTO) i Oracle E-Business Suite — et udbredt ERP-system (virksomhedsstyringssystem) til bl.a. ordre- og lagerstyring. Fejlen findes i den del af systemet, der hedder Supply to Order Workbench. En angriber med en almindelig brugerkonto kan udnytte fejlen over internettet uden at kræve hjælp fra en anden bruger. Det gør den let at udnytte. Berørte versioner er 12.2.3 til og med 12.2.15.

Hvem rammer det?

Fejlen rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Configure to Order aktiveret. Det gælder typisk produktions-, handels- og distributionsvirksomheder, der styrer ordrer og leverancer i systemet. Hvis dit system er tilgængeligt over internettet — fx til medarbejdere, der arbejder hjemmefra eller hos kunder — er risikoen særligt høj.

Hvad kan ske?

En angriber med en simpel brugerkonto kan:

  • Læse alle data i Configure to Order-modulet, herunder ordrer, kundedata og leverandøroplysninger.
  • Oprette, ændre eller slette kritiske forretningsdata uden tilladelse.

Det kan betyde, at konkurrenter eller kriminelle får adgang til følsomme forretningshemmeligheder, eller at vigtige ordredata manipuleres og forårsager driftsforstyrrelser.

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 8.1 ud af 10, hvilket klassificeres som alvorlig. Den er nem at udnytte — angriberen behøver kun en normal brugerkonto og adgang via internettet. Der kræves ingen avancerede tekniske færdigheder eller samarbejde fra andre brugere. Påvirkningen af fortrolighed og dataintegritet er maksimal, men systemets tilgængelighed (dvs. om det kører) påvirkes ikke direkte.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt:

  1. Find ud af, hvilken version du kører: Kontakt din Oracle-administrator eller IT-leverandør og bed dem tjekke, om I bruger Oracle E-Business Suite version 12.2.3–12.2.15 med Configure to Order-modulet.
  2. Anvend Oracles sikkerhedspatch: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Bed din IT-ansvarlige eller leverandør om at installere den hurtigst muligt.
  3. Begræns adgang midlertidigt: Hvis patchen ikke kan installeres med det samme, så overvej at begrænse adgangen til Supply to Order Workbench til kun nødvendige brugere og interne netværk.
  4. Gennemgå brugerkonti: Tjek, om der er konti med adgang til modulet, som ikke bør have det — og fjern unødvendige adgange.
  5. Overvåg for mistænkelig aktivitet: Bed din IT-leverandør om at gennemgå logfiler for usædvanlig aktivitet i modulet.
Tidsfrist

Patch inden for 14 dage

Sådan ser Auroa det

Vi anbefaler, at du prioriterer at få installeret Oracles seneste Critical Patch Update hurtigst muligt — helst inden for de næste to uger. Sårbarheden er nem at udnytte for enhver med en brugerkonto, og konsekvenserne ved et angreb kan være alvorlige for din forretning. Kontakt din Oracle-leverandør eller IT-partner i dag og bekræft, at patchen er planlagt og installeret.

Tidslinje

17/06/2026
CVE offentliggjort af Oracle
Oracle offentliggjorde CVE-2026-46939 som del af deres kvartalsvise Critical Patch Update (CPU). Sårbarheden blev tildelt CVSS-score 8.1 (alvorlig).
17/06/2026
Patch tilgængelig fra Oracle
Oracle udgav samtidig en officiel sikkerhedspatch som del af CPU-udgivelsen. Alle kunder med aktiv supportaftale kan downloade og installere rettelsen.
18/06/2026
Proof-of-concept teknisk analyse cirkulerer
Efter offentliggørelsen begynder sikkerhedsforskere at analysere fejlen. Tekniske detaljer om sårbarheden spredes i sikkerhedsmiljøet, hvilket øger risikoen for udnyttelse.
01/07/2026
Anbefalet frist for patching
Auroras anbefaling er, at alle berørte virksomheder har installeret patchen inden denne dato for at minimere risikoen for angreb.

Konkrete eksempler

Medarbejder med begrænset adgang stjæler kundedata

En angriber logger ind med en ordinær medarbejderkonto — fx en sælger med adgang til Supply to Order Workbench. Via en simpel HTTP-forespørgsel udnytter angriberen fejlen til at hente alle kundeordrer, priser og leverandøraftaler fra systemet. Dataene eksporteres og sælges til en konkurrent eller bruges til afpresning.

Manipulation af ordredata forstyrrer produktionen

En ekstern angriber, der har fået adgang til en medarbejders login via phishing (en falsk e-mail), bruger kontoen til at ændre leveringsadresser eller mængder på kritiske indkøbsordrer i Configure to Order-modulet. Virksomheden opdager først fejlen, når varer leveres forkert, hvilket fører til produktionsstop og tab.

Tidligere ansat udnytter gammel konto

En tidligere medarbejders konto er ikke blevet deaktiveret efter fratrædelse. Vedkommende logger ind eksternt og bruger sårbarheden til at slette eller ændre ordrehistorik, hvilket skaber kaos i regnskab og lagerstyring. Virksomheden har svært ved at bevise omfanget af skaden, fordi logfiler ikke er blevet overvåget.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Configure to Order product of Oracle E-Business Suite (component: Supply to Order Workbench). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Configure to Order. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Configure to Order accessible data as well as unauthorized access to critical data or complete access to all Oracle Configure to Order accessible data. CVSS 3.1 Base Score 8.1 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-46939
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.