CVE-2026-46939: Kritisk fejl i Oracle E-Business Suite
Kritisk fejl i Oracle E-Business Suite giver angribere fuld adgang til at læse og ændre forretningsdata via internettet.
Hvad er det?
CVE-2026-46939 er en sikkerhedsfejl i modulet Configure to Order (CTO) i Oracle E-Business Suite — et udbredt ERP-system (virksomhedsstyringssystem) til bl.a. ordre- og lagerstyring. Fejlen findes i den del af systemet, der hedder Supply to Order Workbench. En angriber med en almindelig brugerkonto kan udnytte fejlen over internettet uden at kræve hjælp fra en anden bruger. Det gør den let at udnytte. Berørte versioner er 12.2.3 til og med 12.2.15.
Hvem rammer det?
Fejlen rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Configure to Order aktiveret. Det gælder typisk produktions-, handels- og distributionsvirksomheder, der styrer ordrer og leverancer i systemet. Hvis dit system er tilgængeligt over internettet — fx til medarbejdere, der arbejder hjemmefra eller hos kunder — er risikoen særligt høj.
Hvad kan ske?
En angriber med en simpel brugerkonto kan:
- Læse alle data i Configure to Order-modulet, herunder ordrer, kundedata og leverandøroplysninger.
- Oprette, ændre eller slette kritiske forretningsdata uden tilladelse.
Det kan betyde, at konkurrenter eller kriminelle får adgang til følsomme forretningshemmeligheder, eller at vigtige ordredata manipuleres og forårsager driftsforstyrrelser.
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 8.1 ud af 10, hvilket klassificeres som alvorlig. Den er nem at udnytte — angriberen behøver kun en normal brugerkonto og adgang via internettet. Der kræves ingen avancerede tekniske færdigheder eller samarbejde fra andre brugere. Påvirkningen af fortrolighed og dataintegritet er maksimal, men systemets tilgængelighed (dvs. om det kører) påvirkes ikke direkte.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt:
- Find ud af, hvilken version du kører: Kontakt din Oracle-administrator eller IT-leverandør og bed dem tjekke, om I bruger Oracle E-Business Suite version 12.2.3–12.2.15 med Configure to Order-modulet.
- Anvend Oracles sikkerhedspatch: Oracle har udsendt en patch (rettelse) som del af deres Critical Patch Update. Bed din IT-ansvarlige eller leverandør om at installere den hurtigst muligt.
- Begræns adgang midlertidigt: Hvis patchen ikke kan installeres med det samme, så overvej at begrænse adgangen til Supply to Order Workbench til kun nødvendige brugere og interne netværk.
- Gennemgå brugerkonti: Tjek, om der er konti med adgang til modulet, som ikke bør have det — og fjern unødvendige adgange.
- Overvåg for mistænkelig aktivitet: Bed din IT-leverandør om at gennemgå logfiler for usædvanlig aktivitet i modulet.
Patch inden for 14 dage
Vi anbefaler, at du prioriterer at få installeret Oracles seneste Critical Patch Update hurtigst muligt — helst inden for de næste to uger. Sårbarheden er nem at udnytte for enhver med en brugerkonto, og konsekvenserne ved et angreb kan være alvorlige for din forretning. Kontakt din Oracle-leverandør eller IT-partner i dag og bekræft, at patchen er planlagt og installeret.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang stjæler kundedata
En angriber logger ind med en ordinær medarbejderkonto — fx en sælger med adgang til Supply to Order Workbench. Via en simpel HTTP-forespørgsel udnytter angriberen fejlen til at hente alle kundeordrer, priser og leverandøraftaler fra systemet. Dataene eksporteres og sælges til en konkurrent eller bruges til afpresning.
Manipulation af ordredata forstyrrer produktionen
En ekstern angriber, der har fået adgang til en medarbejders login via phishing (en falsk e-mail), bruger kontoen til at ændre leveringsadresser eller mængder på kritiske indkøbsordrer i Configure to Order-modulet. Virksomheden opdager først fejlen, når varer leveres forkert, hvilket fører til produktionsstop og tab.
Tidligere ansat udnytter gammel konto
En tidligere medarbejders konto er ikke blevet deaktiveret efter fratrædelse. Vedkommende logger ind eksternt og bruger sårbarheden til at slette eller ændre ordrehistorik, hvilket skaber kaos i regnskab og lagerstyring. Virksomheden har svært ved at bevise omfanget af skaden, fordi logfiler ikke er blevet overvåget.
Ofte stillede spørgsmål
Skal vi bruge Configure to Order-modulet for at være i risiko?
Ja. Fejlen findes specifikt i Supply to Order Workbench inden for Configure to Order-modulet. Hvis I ikke har dette modul aktiveret eller slet ikke bruger det, er I ikke direkte berørt. Kontakt din IT-ansvarlig for at bekræfte, om modulet er i brug.
Kan angriberen komme ind udefra, eller skal de være på vores netværk?
Angriberen behøver kun adgang til systemet via HTTP (internettet) og en gyldig brugerkonto. Hvis dit Oracle E-Business Suite-system er tilgængeligt fra internettet — fx til hjemmearbejde eller eksternt samarbejde — kan angrebet komme udefra. Det gør det ekstra vigtigt at handle hurtigt.
Hvad sker der, hvis vi ikke patcher med det samme?
Risikoen er, at en angriber med en simpel brugerkonto kan læse eller manipulere alle data i modulet. Det kan betyde tab af fortrolige forretningsdata, manipulerede ordrer eller leverandøroplysninger — med potentielt store økonomiske og omdømmemæssige konsekvenser. Jo længere I venter, jo større er risikoen.
Hvordan finder vi ud af, om vi allerede er blevet angrebet?
Bed din IT-ansvarlig eller leverandør om at gennemgå systemlogfiler (historik over brugeraktivitet) i Oracle E-Business Suite — særligt aktivitet i Configure to Order-modulet. Se efter usædvanlige login-tidspunkter, ukendte brugerkonti eller uventede ændringer i ordredata.
Er det nok at ændre adgangskoder?
Nej. At ændre adgangskoder fjerner ikke selve sikkerhedsfejlen i softwaren. Den eneste holdbare løsning er at installere Oracles officielle patch. Adgangskodeændring kan dog være en ekstra sikkerhedsforanstaltning, hvis I mistænker, at konti er blevet kompromitteret.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Configure to Order product of Oracle E-Business Suite (component: Supply to Order Workbench). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Configure to Order. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Configure to Order accessible data as well as unauthorized access to critical data or complete access to all Oracle Configure to Order accessible data. CVSS 3.1 Base Score 8.1 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
