CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-35273

Pominięcie uwierzytelnienia w Oracle PeopleSoft PeopleTools (RCE/Takeover)

CVSS 9.8v3.1pub. 2026-06-11upd. 2026-06-12

Krytyczna podatność w komponencie Updates Environment Management produktu Oracle PeopleSoft Enterprise PeopleTools umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad systemem. Luka jest aktywnie exploitowana i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Updates Environment Management). Supported versions that are affected are 8.61 and 8.62. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise PeopleSoft Enterprise PeopleTools. Successful attacks of this vulnerability can result in takeover of PeopleSoft Enterprise PeopleTools. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) oznacza, że krytyczne funkcje komponentu Updates Environment Management są dostępne bez jakiegokolwiek uwierzytelnienia. Atakujący z dostępem sieciowym do systemu może wysyłać żądania HTTP bez podawania danych uwierzytelniających i uzyskać pełny dostęp do wrażliwych operacji. Luka jest łatwa w exploitacji — nie wymaga specjalnych uprawnień ani interakcji ze strony użytkownika.

Skutki

Skuteczny atak prowadzi do całkowitego przejęcia systemu PeopleSoft Enterprise PeopleTools, w tym naruszenia poufności, integralności i dostępności danych (C:H/I:H/A:H). Atakujący może odczytywać, modyfikować lub usuwać dane, a także doprowadzić do niedostępności systemu (DoS).

Mitygacja

Należy niezwłocznie zastosować patche udostępnione przez Oracle zgodnie z alertem bezpieczeństwa dostępnym pod adresem https://www.oracle.com/security-alerts/alert-cve-2026-35273.html. Ze względu na aktywne exploitowanie podatności w środowisku naturalnym, aktualizacja powinna zostać wdrożona priorytetowo. Do czasu instalacji patcha zaleca się ograniczenie dostępu sieciowego do komponentu Updates Environment Management wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Oracle PeopleSoft Enterprise PeopleTools w wersjach 8.61 oraz 8.62

Uwagi

Podatność znajduje się w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystywanie w środowisku produkcyjnym. Data publikacji CVE: 2026-06-11.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oracle Peoplesoft Enterprise Peopletools

    APP
    Oracle
    8.618.62

CISA KEV — szczegółyi

Dostawcai
Oracle
Produkti
PeopleSoft Enterprise PeopleTools
Data dodania do KEVi
12 czerwca 2026
Termin remediation (USA)i
15 czerwca 2026(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność z wytycznymi CISA dotyczącymi BOD 26-04 Prioritizing Security Updates Based on Risk (patrz URL w Uwagach) oraz "Forensics Triage Requirements" CISA (patrz URL w Uwagach). Postępuj zgodnie z odpowiednimi wytycznymi BOD 26-04 dla usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji każdego zasobu na Internet i zapewnienie zgodności z wytycznymi dotyczącymi patchy zawartymi w BOD 26-04.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.

Opis CISAi

Oracle PeopleSoft Enterprise PeopleTools zawiera lukę dotyczącą braku uwierzytelniania dla funkcji krytycznej, która mogłaby umożliwić niezauwierzytelnionemu atakującemu przejęcie kontroli nad PeopleSoft Enterprise PeopleTools.

tłumaczenie AI
Pokaż oryginał (EN)

Oracle PeopleSoft Enterprise PeopleTools contains a missing authentication for critical function vulnerability which could allow an unauthenticated attacker to obtain takeover of PeopleSoft Enterprise PeopleTools.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 15 czerwca 2026
Tagi
Auth BypassDoS
CWE
Referencje

Powiązane podatności

CVE-2019-2725CRITICAL9.8⚠ KEVten sam produkt

Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services)...

CVE-2022-21543CRITICAL9.8ten sam produkt

Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Updates Enviro...

CVE-2021-3711CRITICAL9.8ten sam produkt

In order to decrypt SM2 encrypted data an application is expected to call the API function EVP_PKEY_decrypt()....

CVE-2021-22931CRITICAL9.8ten sam produkt

Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes d...

CVE-2021-23926CRITICAL9.1ten sam produkt

The XML parsers used by XMLBeans up to version 2.6.0 did not set the properties needed to protect the user fro...