CVE-2026-46940
Alvorlig

CVE-2026-46940: Alvorlig fejl i Oracle E-Business Suite

Kritisk fejl i Oracle E-Business Suite lader angribere overtage dit Cost Management-system via internettet.

CVSS Score
8.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch hurtigst muligt — inden for 7 dage

Hvad er det?

CVE-2026-46940 er en alvorlig sikkerhedsfejl i Oracle E-Business Suite, nærmere bestemt i modulet Oracle Cost Management (Cost Planning). En angriber, der har en almindelig brugerkonto i systemet, kan udnytte fejlen over internettet via HTTP (den standard protokol, der bruges til webtrafik) — uden at kræve særlige rettigheder eller hjælp fra andre brugere. Fejlen giver angriberen mulighed for at overtage hele Cost Management-modulet. Berørte versioner er 12.2.3 til og med 12.2.15.

Hvem rammer det?

Du er i risikogruppen, hvis din virksomhed bruger Oracle E-Business Suite i version 12.2.3–12.2.15 med modulet Cost Management (Cost Planning) aktiveret. Det gælder typisk mellemstore og større virksomheder inden for produktion, handel og økonomi, som bruger Oracle EBS til at styre produktions- og vareomkostninger. Hvis systemet er tilgængeligt fra internettet eller intranet, er risikoen særligt høj.

Hvad kan ske?

En angriber med blot en almindelig brugerkonto kan:

  • Overtage systemet fuldstændigt — herunder læse, ændre eller slette alle data i Cost Management.
  • Manipulere omkostningsdata — fx ændre priser, kalkulationer eller produktionsomkostninger, hvilket kan føre til forkerte beslutninger og tab.
  • Tilgå fortrolige forretningsdata — fx leverandørpriser, marginer og budgetter.
  • Forstyrre driften — ved at gøre systemet utilgængeligt (nedbrud).

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 8.8 ud af 10, hvilket klassificeres som Alvorlig (High). Alle tre sikkerhedsparametre — fortrolighed, integritet og tilgængelighed — er vurderet som maksimalt påvirket. Fejlen er let at udnytte: den kræver ingen teknisk snilde, kun en brugerkonto og netværksadgang. Det betyder, at selv en medarbejder med begrænset adgang potentielt kan misbruge den — eller at en ekstern angriber, der har kompromitteret én konto, kan gøre stor skade.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Identificér om du er ramt: Tjek med din IT-ansvarlige eller Oracle-leverandør, hvilken version af Oracle E-Business Suite I kører, og om Cost Management / Cost Planning er aktiveret.
  2. Anvend Oracles sikkerhedspatch: Oracle udgiver løbende Critical Patch Updates (CPU). Sørg for at installere den relevante patch fra Oracles officielle CPU-udgivelse, der adresserer CVE-2026-46940.
  3. Begræns netværksadgang midlertidigt: Hvis patchen ikke kan installeres straks, så overvej at begrænse adgangen til Oracle EBS til kun nødvendige brugere og netværk via firewall-regler.
  4. Gennemgå brugerrettigheder: Kontrollér hvem der har adgang til Cost Management-modulet, og fjern adgang fra brugere, der ikke har brug for det.
  5. Overvåg systemet: Hold øje med usædvanlig aktivitet i Oracle EBS-logfiler, særligt i Cost Planning-komponenten.
Tidsfrist

Patch hurtigst muligt — inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du prioriterer patching af Oracle E-Business Suite som en akut opgave. Kontakt din Oracle-leverandør eller interne IT-team i dag og få bekræftet, om I er sårbare. Mens patchen klargøres, bør adgangen til systemet begrænses til kun de mest nødvendige brugere. Sørg desuden for, at Oracle EBS ikke er direkte eksponeret mod internettet uden et ekstra lag af adgangskontrol.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-46940 som en del af en planlagt Critical Patch Update. Sårbarheden får en CVSS-score på 8.8 og klassificeres som alvorlig.
17/06/2026
Patch tilgængelig fra Oracle
Oracle frigiver sikkerhedspatch som en del af CPU-udgivelsen. Virksomheder opfordres til omgående at opdatere berørte versioner af Oracle E-Business Suite.
18/06/2026
Sikkerhedsforskere analyserer fejlen
Efter offentliggørelsen begynder sikkerhedsforskere at analysere sårbarheden. Den lave kompleksitet og brede udbredelse af Oracle EBS gør den til et attraktivt mål.
24/06/2026
Risiko for aktiv udnyttelse stiger
Erfaringsmæssigt begynder angribere at forsøge udnyttelse af kendte Oracle EBS-sårbarheder inden for 1-2 uger efter offentliggørelse. Virksomheder uden patch er i høj risiko.

Konkrete eksempler

Intern medarbejder manipulerer omkostningsdata

En utilfreds medarbejder i økonomiafdelingen, som har en almindelig brugerkonto i Oracle EBS, udnytter fejlen til at eskalere sine rettigheder i Cost Management. Han ændrer produktionsomkostninger og priskalkulation, hvilket resulterer i fejlagtige regnskaber og tab for virksomheden, inden fejlen opdages uger senere.

Ekstern angriber overtager system via phishing

En angriber sender en phishing-mail til en medarbejder og får fat i dennes Oracle EBS-loginoplysninger. Med den kompromitterede konto bruger angriberen CVE-2026-46940 til at overtage Cost Management-modulet, trækker fortrolige leverandørpriser og marginer ud og sælger informationerne til en konkurrent.

Ransomware-aktør krypterer EBS-data

En organiseret hackergruppe udnytter sårbarheden til at skaffe sig fuld kontrol over Oracle EBS-installationen. Gruppen installerer ransomware (afpresningssoftware), der krypterer virksomhedens data og kræver løsepenge for at gendanne adgangen. Produktionen stopper i flere dage.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Cost Management product of Oracle E-Business Suite (component: Cost Planning). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Cost Management. Successful attacks of this vulnerability can result in takeover of Oracle Cost Management. CVSS 3.1 Base Score 8.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-46940
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch hurtigst muligt — inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.