CVE-2026-46958
Alvorlig

CVE-2026-46958: Sårbarhed i Oracle E-Business Suite

Sårbarhed i Oracle E-Business Suite kan give angribere fuld kontrol over dit regnskabssystem via internettet.

CVSS Score
7.5
Offentliggjort
17/06/2026
Patch-status
available
Exploit
none_known
Tidsfrist
Patch inden for 30 dage

Hvad er det?

CVE-2026-46958 er en sårbarhed i Oracle Subledger Accounting, som er en del af Oracle E-Business Suite — et udbredt forretningssystem til bl.a. økonomi og regnskab. Sårbarheden findes i den interne del af systemet og gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele Subledger Accounting-modulet via internettet. Angrebet kræver ikke, at en bruger klikker på noget eller godkender noget — angriberen handler alene. Det kræver dog et vist teknisk kendskab at udnytte sårbarheden, hvilket sænker risikoen en smule, men fjerner den ikke.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3 til og med 12.2.15. Det er typisk mellemstore og større virksomheder, der bruger Oracle EBS til økonomi, indkøb eller regnskab. Hvis dit system er tilgængeligt via internettet (f.eks. til hjemmearbejde eller eksterne revisorer), er risikoen særligt høj.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan vedkommende overtage Oracle Subledger Accounting fuldstændigt. Det betyder i praksis:

  • Læse og kopiere fortrolige regnskabsdata og finansielle oplysninger
  • Ændre eller slette bogføring og transaktioner
  • Gøre systemet utilgængeligt for dine medarbejdere og revisorer
  • Potentielt bevæge sig videre til andre dele af dit EBS-miljø

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.5 (Alvorlig). Den rammer alle tre kerneområder i sikkerhed: fortrolighed, integritet og tilgængelighed — alle tre i høj grad. Det positive er, at angrebet kræver en eksisterende brugerkonto og et vist teknisk niveau (høj kompleksitet), hvilket gør det sværere at udnytte end de mest kritiske sårbarheder. Det fratager dog ikke behovet for at handle hurtigt.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Find ud af om du er ramt: Kontrollér hvilken version af Oracle E-Business Suite I kører. Er det version 12.2.3–12.2.15, er I potentielt sårbare.
  2. Hent og installér Oracles sikkerhedspatch: Oracle udgiver løbende Critical Patch Updates (CPU). Søg efter den relevante patch til CVE-2026-46958 på Oracles supportportal (My Oracle Support).
  3. Begræns adgangen til systemet: Sørg for, at Oracle EBS ikke er unødvendigt eksponeret mod internettet. Brug VPN (et krypteret privat netværk) til ekstern adgang.
  4. Gennemgå brugerkonti: Fjern eller deaktivér konti til tidligere medarbejdere og begræns antallet af brugere med adgang til Subledger Accounting.
  5. Kontakt din Oracle-leverandør eller IT-partner: Hvis I ikke selv administrerer Oracle EBS, så kontakt den ansvarlige hurtigst muligt og bed om en plan for patching.
Tidsfrist

Patch inden for 30 dage

Sådan ser Auroa det

Vi anbefaler, at du prioriterer at få installeret Oracles seneste Critical Patch Update, som adresserer denne sårbarhed. Sørg samtidig for, at adgangen til Oracle EBS er begrænset til nødvendige brugere og kun sker via sikre forbindelser som VPN. Har du ikke interne ressourcer til at håndtere dette, så kontakt din IT-leverandør eller en Oracle-certificeret partner hurtigst muligt.

Tidslinje

17/06/2026
CVE offentliggjort af NVD
CVE-2026-46958 blev offentliggjort i National Vulnerability Database med en CVSS-score på 7.5 (Alvorlig). Oracle frigav samtidig en patch som del af deres Critical Patch Update-cyklus.
17/06/2026
Oracle patch tilgængelig
Oracle udsendte rettelsen til CVE-2026-46958 som del af deres planlagte Critical Patch Update. Patchen er tilgængelig via My Oracle Support for berørte versioner 12.2.3–12.2.15.
17/06/2026
Ingen kendt aktiv udnyttelse
På offentliggørelsestidspunktet er der ikke registreret aktive angreb eller offentliggjorte proof-of-concept-eksploits rettet mod denne sårbarhed.

Konkrete eksempler

Kompromitteret medarbejderkonto bruges til regnskabsmanipulation

En angriber får fat i loginoplysningerne til en bogholder via en phishing-mail. Med disse oplysninger logger angriberen ind i Oracle Subledger Accounting og udnytter sårbarheden til at eskalere sine rettigheder og overtage modulet. Herefter ændrer angriberen transaktionsdata og opretter falske kreditorer, uden at der efterlades tydelige spor i de normale logfiler.

Tidligere medarbejder med aktiv konto udfører insiderangreb

En fratrådt medarbejder har stadig en aktiv brugerkonto i Oracle EBS, som aldrig blev deaktiveret. Vedkommende tilgår systemet udefra via virksomhedens webadgang og udnytter CVE-2026-46958 til at få fuld kontrol over Subledger Accounting. Dette giver mulighed for at eksportere fortrolige finansielle data eller sabotere bogføringen forud for en revision.

Eksternt angreb via eksponeret Oracle EBS-installation

En virksomhed har gjort Oracle EBS tilgængeligt direkte via internettet for at lette adgangen for hjemmearbejdende medarbejdere. En angriber med teknisk kendskab til Oracle EBS identificerer en gyldig brugerkonto (f.eks. via credential stuffing) og udnytter sårbarheden til at overtage Subledger Accounting-modulet. Angrebet sker uden interaktion fra nogen medarbejder og opdages først dage senere under en planlagt systemkontrol.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Subledger Accounting product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Subledger Accounting. Successful attacks of this vulnerability can result in takeover of Oracle Subledger Accounting. CVSS 3.1 Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-46958
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
none_known
Patch-status
available
Tidsfrist
Patch inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.