CVE-2026-46949: Kritisk fejl i Oracle E-Business Suite
Kritisk fejl i Oracle E-Business Suite giver hackere fuld adgang til telefonisystem-data uden login.
Hvad er det?
CVE-2026-46949 er en kritisk sikkerhedsfejl i Oracle Advanced Outbound Telephony, som er en del af Oracle E-Business Suite — et udbredt forretningssystem til bl.a. økonomi, salg og kundeservice. Fejlen ligger i en intern komponent (Internal Operations) og gør det muligt for en angriber at tilgå, oprette, ændre eller slette data i systemet — helt uden at have et brugernavn eller adgangskode. Angrebet sker over internettet via den normale HTTP-forbindelse, og det kræver ingen teknisk snilde at udnytte. Det er med andre ord lavthængende frugt for kriminelle.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der kører Oracle E-Business Suite version 12.2.3 til og med 12.2.15 med modulet Advanced Outbound Telephony aktiveret. Det er typisk mellemstore og større virksomheder inden for salg, callcenter-drift, finans og offentlig forvaltning, som bruger denne løsning til udgående telefonkampagner og kundeserviceprocesser. Har din virksomhed Oracle E-Business Suite installeret, bør du hurtigst muligt tjekke, hvilken version I kører.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Læse alle data i Oracle Advanced Outbound Telephony — herunder kundelister, kontaktoplysninger og kampagnedata.
- Ændre eller slette kritiske data, fx manipulere med opkaldslister eller kampagnekonfigurationer.
- Oprette uautoriserede poster i systemet uden at efterlade spor fra et logget brugernavn.
Systemets tilgængelighed (drift) påvirkes ikke direkte af denne fejl, men tab af data-integritet og fortrolighed kan have alvorlige konsekvenser for forretningen og for GDPR-overholdelse (databeskyttelsesreglerne).
Hvor alvorligt er det?
Fejlen har fået den næsthøjeste mulige CVSS-score: 9.1 ud af 10 — Kritisk. Det skyldes en særlig farlig kombination af faktorer:
- Angreb kan udføres over netværket — angriberen behøver ikke fysisk adgang.
- Lav kompleksitet — det kræver ingen specialviden at udnytte fejlen.
- Ingen login nødvendigt — helt uden autentificering (brugernavn/adgangskode).
- Ingen brugerinteraktion — ingen medarbejder behøver klikke på noget.
Kort sagt: Er systemet eksponeret mod internettet, er det åbent for enhver.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt:
- Tjek jeres version: Find ud af, om I kører Oracle E-Business Suite version 12.2.3–12.2.15 med modulet Advanced Outbound Telephony aktiveret.
- Anvend Oracles sikkerhedspatch: Oracle udgiver patches via deres Critical Patch Update (CPU)-program. Tjek Oracles support-portal (My Oracle Support) for den relevante patch til jeres version og installer den straks.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så sørg for, at modulet ikke er tilgængeligt fra det åbne internet — fx ved at blokere adgang via jeres firewall til kun at tillade kendte IP-adresser.
- Gennemgå adgangslogge: Bed jeres IT-ansvarlige eller leverandør om at kigge i systemets logfiler for tegn på uautoriseret adgang tilbage i tid.
- Kontakt jeres Oracle-leverandør: Hvis I bruger Oracle E-Business Suite via en ekstern leverandør eller partner, skal de informeres og tage ansvar for opdateringen.
Patch straks — inden for 24-72 timer
Med en CVSS-score på 9.1 og ingen krav til hverken login eller teknisk snilde er dette en sårbarhed, du ikke kan tillade dig at vente med at håndtere. Installer Oracles patch øjeblikkeligt, og afskær i mellemtiden ekstern adgang til det berørte modul. Har I kundedata eller personoplysninger i systemet, skal I også vurdere, om I har en GDPR-indberetningspligt over for Datatilsynet inden for 72 timer, hvis I opdager tegn på uautoriseret adgang.
Tidslinje
Konkrete eksempler
Datatyveri af kundelister
En angriber scanner internettet og finder en virksomheds Oracle E-Business Suite eksponeret på en standard HTTP-port. Via en simpel HTTP-forespørgsel til den sårbare Internal Operations-komponent henter angriberen alle kundedata og kontaktoplysninger fra Advanced Outbound Telephony — herunder navne, telefonnumre og e-mailadresser — uden nogensinde at have et brugernavn eller adgangskode. Dataene sælges efterfølgende på dark web eller bruges til målrettet phishing.
Sabotage af salgskampagne
En konkurrent eller en kriminel aktør udnytter fejlen til at slette eller manipulere opkaldslister og kampagnekonfigurationer i systemet. Virksomhedens salgsteam oplever pludselig, at data er forsvundet eller ændret, og en planlagt telefonkampagne går i stå. Skaden opdages måske først dage senere, og det er svært at bevise, hvad der skete, fordi angrebet ikke efterlader et brugernavn i loggen.
GDPR-brud med indberetningspligt
En mellemstor virksomhed med Oracle E-Business Suite opdager — via en alarm fra deres overvågningssystem — at store mængder personoplysninger er trukket ud af systemet natten over. Da Advanced Outbound Telephony indeholder kontaktoplysninger på tusindvis af kunder, er virksomheden nu forpligtet til at indberette bruddet til Datatilsynet inden for 72 timer og muligvis informere de berørte kunder. Processen er ressourcekrævende og skader virksomhedens omdømme.
Ofte stillede spørgsmål
Skal vi bruge modulet Advanced Outbound Telephony for at være i fare?
Ja. Sårbarheden er specifikt i komponenten Advanced Outbound Telephony i Oracle E-Business Suite. Bruger I ikke dette modul, er I ikke direkte sårbare over for netop denne fejl. Men I bør alligevel tjekke, om modulet er installeret, selv om I ikke aktivt bruger det — da det kan være tilgængeligt uden jeres vidende.
Kan vi se, om nogen allerede har udnyttet fejlen mod os?
Det er muligt at undersøge systemets adgangslogge for mistænkelig aktivitet, men da angrebet ikke kræver et brugernavn, kan det være svært at identificere. Kontakt jeres IT-leverandør eller en sikkerhedskonsulent for hjælp til at gennemgå logfilerne og vurdere, om der har været uautoriseret adgang.
Hvad sker der med vores drift, mens vi venter på at patche?
Den bedste midlertidige løsning er at blokere ekstern adgang til modulet via jeres firewall, så det kun er tilgængeligt fra jeres interne netværk eller kendte IP-adresser. Det reducerer risikoen markant, mens I forbereder den egentlige patch. Selve driften af modulet kan fortsætte internt, men ekstern eksponering bør elimineres straks.
Er vi nødt til at indberette dette til Datatilsynet?
I er kun forpligtet til at indberette et sikkerhedsbrud til Datatilsynet, hvis I konstaterer, at personoplysninger faktisk er blevet kompromitteret — dvs. at nogen har udnyttet sårbarheden og tilgået jeres data. Opdager I tegn på det, har I 72 timer til at indberette fra det tidspunkt, I bliver bekendt med bruddet. Finder I ingen tegn på udnyttelse, er der ikke automatisk indberetningspligt, men I bør dokumentere jeres undersøgelse.
Hvem hos os er ansvarlig for at håndtere dette?
Det er typisk IT-ansvarlig, systemadministrator eller den leverandør, der drifter jeres Oracle E-Business Suite. Er I i tvivl om, hvem der har ansvaret, bør ledelsen tage kontakt til jeres IT-partner eller outsourcing-leverandør omgående og sikre, at de er bekendt med sårbarheden og har en plan for patching.
Er ældre versioner end 12.2.3 også berørt?
Ifølge Oracles egen beskrivelse er de berørte versioner 12.2.3 til 12.2.15. Versioner ældre end 12.2.3 er ikke nævnt som berørte af denne specifikke fejl, men meget ældre versioner af Oracle E-Business Suite modtager typisk ikke længere sikkerhedsopdateringer fra Oracle overhovedet — hvilket i sig selv udgør en alvorlig risiko. Er I på en ældre version, bør I tale med Oracle om opgraderingsmulighederne.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Advanced Outbound Telephony product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Advanced Outbound Telephony. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Advanced Outbound Telephony accessible data as well as unauthorized access to critical data or complete access to all Oracle Advanced Outbound Telephony accessible data. CVSS 3.1 Base Score 9.1 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
