CVE-2026-46963
Kritisk

CVE-2026-46963: Kritisk fejl i Oracle E-Business Suite

Kritisk fejl i Oracle E-Business Suite giver angribere fuld kontrol over arbejdskøsystemet via internettet.

CVSS Score
9.9
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Patch inden for 24-72 timer

Hvad er det?

CVE-2026-46963 er en kritisk sikkerhedsfejl i Oracle Universal Work Queue, som er en del af Oracle E-Business Suite (et udbredt ERP-system til virksomhedsstyring). Fejlen sidder i komponenten Work Provider Site Level Administration og rammer versionerne 12.2.3 til 12.2.15.

En angriber med blot en almindelig brugerkonto kan udnytte fejlen via internettet uden yderligere hjælp fra andre brugere. Det betyder, at en medarbejder med lavt adgangsniveau — eller en angriber der har stjålet sådanne loginoplysninger — kan overtage hele systemet og potentielt brede angrebet ud til andre systemer i virksomheden.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3 til og med 12.2.15 med modulet Oracle Universal Work Queue aktiveret. Det drejer sig typisk om mellemstore og større virksomheder, der benytter Oracle til at styre forretningsprocesser som ordrehåndtering, HR eller finans. Hvis dit system er tilgængeligt via internettet (HTTP), er risikoen særlig høj.

Hvad kan ske?

En vellykket udnyttelse af denne fejl kan give angriberen fuld kontrol over Oracle Universal Work Queue — herunder adgang til at læse, ændre og slette data (fortrolighed, integritet og tilgængelighed påvirkes alle maksimalt). Fordi angrebet kan sprede sig til andre systemer (scope change), risikerer du, at hele din Oracle-installation kompromitteres. Det kan føre til:

  • Tyveri af følsomme forretnings- og persondata
  • Manipulation af ordrer, fakturaer eller løn
  • Nedbrud af forretningskritiske systemer
  • Videre angreb på andre interne systemer via det kompromitterede Oracle-miljø

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 9.9 ud af 10 — Kritisk. Det er næsten den højest mulige score. Tre faktorer gør den særligt farlig:

  • Lav adgangsbarriere: Angriberen behøver kun en normal brugerkonto og netværksadgang via HTTP.
  • Ingen brugerinteraktion kræves: Angrebet kan ske helt automatisk, uden at nogen klikker på noget.
  • Scope change: Angrebet kan brede sig ud over det direkte ramte system til andre dele af din infrastruktur.

Hvad gør jeg nu?

Handl hurtigt. Oracle har udsendt en patch som del af deres Critical Patch Update-program. Følg disse trin:

  1. Tjek din version: Find ud af, om I bruger Oracle E-Business Suite version 12.2.3–12.2.15 med Oracle Universal Work Queue.
  2. Installer Oracles sikkerhedsopdatering: Hent og installer den relevante patch fra Oracles Critical Patch Update (CPU). Kontakt din Oracle-leverandør eller IT-partner for hjælp.
  3. Begræns netværksadgang midlertidigt: Hvis I ikke kan patche med det samme, så begræns adgangen til Oracle-systemet fra internettet, indtil opdateringen er installeret.
  4. Gennemgå brugerkonti: Tjek, om der er konti med unødvendigt høje rettigheder, og deaktiver konti der ikke bruges.
  5. Overvåg systemlogs: Hold øje med usædvanlig aktivitet i Oracle-systemet og på netværket.
Tidsfrist

Patch inden for 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 9.9 bør denne sårbarhed behandles som en akut hændelse. Vi anbefaler, at du kontakter din IT-partner eller Oracle-leverandør i dag og får planlagt patch-installationen hurtigst muligt. Hvis I ikke kan nå at patche inden for de næste 24-72 timer, bør I som minimum isolere Oracle-systemet fra offentlig internetadgang, indtil opdateringen er på plads. Vent ikke på næste planlagte vedligeholdelsesvindue.

Tidslinje

17/06/2026
CVE offentliggjort
Oracle offentliggør CVE-2026-46963 som del af deres Critical Patch Update for juni 2026. Sårbarheden tildeles den kritiske CVSS-score på 9.9.
17/06/2026
Patch frigivet af Oracle
Oracle udgiver samtidig med offentliggørelsen en officiel sikkerhedsopdatering via Critical Patch Update-programmet, som afhjælper sårbarheden i de berørte versioner 12.2.3–12.2.15.
18/06/2026
Proof-of-concept forventet offentliggjort
Med den lave angrebskompleksitet og den høje synlighed omkring sårbarheden forventes tekniske detaljer og proof-of-concept-kode at dukke op inden for 24-48 timer efter offentliggørelsen, hvilket øger risikoen markant.
20/06/2026
Øget angrebsrisiko
Erfaring fra lignende kritiske Oracle-sårbarheder viser, at aktive angrebsforsøg typisk starter inden for 3-7 dage efter offentliggørelse. Systemer uden patch er i høj risiko fra dette tidspunkt.

Konkrete eksempler

Intern medarbejder med begrænset adgang overtager systemet

En medarbejder i kundeservice har en normal Oracle-brugerkonto med begrænsede rettigheder. Ved at sende en særligt udformet HTTP-forespørgsel til Work Provider Site Level Administration-komponenten udnytter medarbejderen fejlen og eskalerer sine egne rettigheder til administrator-niveau. Derefter kan medarbejderen tilgå og eksportere alle virksomhedens kundedata og ordrehistorik.

Angriber med stjålne loginoplysninger fra phishing

En ekstern angriber sender en phishing-mail til en medarbejder og stjæler dennes Oracle-loginoplysninger. Med disse simple brugeroplysninger logger angriberen ind på Oracle E-Business Suite via internettet og udnytter CVE-2026-46963 til at overtage hele Oracle-miljøet. Angriberen installerer herefter bagdøre og begynder at kryptere data som optakt til et ransomware-angreb.

Automatiseret angreb scanner og kompromitterer eksponerede systemer

En automatiseret angrebsbot scanner internettet for Oracle E-Business Suite-installationer og identificerer virksomheder med sårbare versioner. Uden menneskelig indblanding udnytter botten CVE-2026-46963, opretter en ny administratorkonto og kopierer hele databasen til en ekstern server — alt sammen inden virksomheden opdager indtrænget. Angrebet kan ramme mange virksomheder samtidigt på meget kort tid.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

Original NVD-beskrivelse (engelsk)

Vulnerability in the Oracle Universal Work Queue product of Oracle E-Business Suite (component: Work Provider Site Level Administration). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Universal Work Queue. While the vulnerability is in Oracle Universal Work Queue, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Universal Work Queue. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-46963
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Patch inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.