Krytyczna podatność w komponencie Updates Environment Management produktu Oracle PeopleSoft Enterprise PeopleTools umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad systemem. Luka jest aktywnie exploitowana i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Updates Environment Management). Supported versions that are affected are 8.61 and 8.62. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise PeopleSoft Enterprise PeopleTools. Successful attacks of this vulnerability can result in takeover of PeopleSoft Enterprise PeopleTools. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) oznacza, że krytyczne funkcje komponentu Updates Environment Management są dostępne bez jakiegokolwiek uwierzytelnienia. Atakujący z dostępem sieciowym do systemu może wysyłać żądania HTTP bez podawania danych uwierzytelniających i uzyskać pełny dostęp do wrażliwych operacji. Luka jest łatwa w exploitacji — nie wymaga specjalnych uprawnień ani interakcji ze strony użytkownika.
Skuteczny atak prowadzi do całkowitego przejęcia systemu PeopleSoft Enterprise PeopleTools, w tym naruszenia poufności, integralności i dostępności danych (C:H/I:H/A:H). Atakujący może odczytywać, modyfikować lub usuwać dane, a także doprowadzić do niedostępności systemu (DoS).
Należy niezwłocznie zastosować patche udostępnione przez Oracle zgodnie z alertem bezpieczeństwa dostępnym pod adresem https://www.oracle.com/security-alerts/alert-cve-2026-35273.html. Ze względu na aktywne exploitowanie podatności w środowisku naturalnym, aktualizacja powinna zostać wdrożona priorytetowo. Do czasu instalacji patcha zaleca się ograniczenie dostępu sieciowego do komponentu Updates Environment Management wyłącznie do zaufanych adresów IP.
Oracle PeopleSoft Enterprise PeopleTools w wersjach 8.61 oraz 8.62
Podatność znajduje się w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystywanie w środowisku produkcyjnym. Data publikacji CVE: 2026-06-11.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOracle Peoplesoft Enterprise Peopletools
APPOracle8.618.62
CISA KEV — szczegółyi
- Dostawcai
- Oracle ↗
- Produkti
- PeopleSoft Enterprise PeopleTools
- Data dodania do KEVi
- 12 czerwca 2026
- Termin remediation (USA)i
- 15 czerwca 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność z wytycznymi CISA dotyczącymi BOD 26-04 Prioritizing Security Updates Based on Risk (patrz URL w Uwagach) oraz "Forensics Triage Requirements" CISA (patrz URL w Uwagach). Postępuj zgodnie z odpowiednimi wytycznymi BOD 26-04 dla usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji każdego zasobu na Internet i zapewnienie zgodności z wytycznymi dotyczącymi patchy zawartymi w BOD 26-04.
▸ Pokaż oryginał (EN)
Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.
Oracle PeopleSoft Enterprise PeopleTools zawiera lukę dotyczącą braku uwierzytelniania dla funkcji krytycznej, która mogłaby umożliwić niezauwierzytelnionemu atakującemu przejęcie kontroli nad PeopleSoft Enterprise PeopleTools.
▸ Pokaż oryginał (EN)
Oracle PeopleSoft Enterprise PeopleTools contains a missing authentication for critical function vulnerability which could allow an unauthenticated attacker to obtain takeover of PeopleSoft Enterprise PeopleTools.
Powiązane podatności
Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services)...
Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Updates Enviro...
In order to decrypt SM2 encrypted data an application is expected to call the API function EVP_PKEY_decrypt()....
Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes d...
The XML parsers used by XMLBeans up to version 2.6.0 did not set the properties needed to protect the user fro...