Oracle выпустила внеочередное предупреждение безопасности, касающееся критической уязвимости в продукте PeopleSoft Enterprise PeopleTools версий 8.61 и 8.62. Проблеме присвоен идентификатор CVE-2026-35273. Согласно открытым источникам, данная уязвимость уже используется злоумышленниками в реальных атаках. Канадский центр кибербезопасности (Cyber Centre) рекомендует немедленно ознакомиться с предоставленными ссылками и выполнить указанные меры по снижению риска.
Суть уязвимости
CVE-2026-35273 затрагивает компонент Updates Environment Management в составе Oracle PeopleSoft PeopleTools. Уязвимость эксплуатируется удалённо без необходимости аутентификации. Это означает, что атакующий может отправить специально сформированный HTTP-запрос к уязвимому серверу и получить полный контроль над системой. Базовый риск по шкале CVSS версии 3.1 (Common Vulnerability Scoring System - отраслевой стандарт оценки серьёзности уязвимостей) составляет 9,8 балла из 10. Подобная оценка относится к категории критических. Уязвимость затрагивает все комбинации протоколов, включая защищённый вариант HTTPS, если он используется.
Успешная эксплуатация приводит к выполнению произвольного кода на сервере. Следовательно, злоумышленник может удалённо установить вредоносное программное обеспечение, похитить конфиденциальные данные, нарушить работу корпоративных приложений или закрепиться в инфраструктуре для дальнейших атак.
Почему это важно
PeopleSoft Enterprise PeopleTools - это платформа для разработки и развёртывания бизнес-приложений Oracle, в первую очередь систем управления персоналом, финансами и закупками. Такие системы используются в крупных компаниях, государственных учреждениях и образовательных организациях по всему миру. Поскольку уязвимость не требует аутентификации, атакующему не нужно получать учётные данные или иметь доступ к внутренней сети. Достаточно, чтобы сервер PeopleTools был доступен по сети (например, через интернет или через корпоративную сеть с возможностью доступа извне). Это делает проблему особенно опасной для организаций, которые оставили PeopleSoft открытым для внешних соединений без дополнительных средств защиты.
Исследователи Бобби Гулд, Лукас Миллер и Минь Зянг из TrendAI Zero Day Initiative (подразделение, занимающееся поиском уязвимостей нулевого дня) сообщили Oracle об этой проблеме. То, что эксплойт уже используется в реальных атаках, подтверждает высокий интерес злоумышленников и необходимость срочного реагирования.
Технические детали и вектор атаки
Уязвимость находится в компоненте управления средой обновлений (Updates Environment Management). Вероятная техника эксплуатации связана с некорректной обработкой входных данных, передаваемых по протоколу HTTP. Злоумышленник может отправить специально сконструированный запрос, который спровоцирует выполнение произвольного кода на сервере. Подобные ошибки часто возникают из-за недостаточной проверки данных, получаемых из сети, и могут приводить к переполнению буфера, внедрению команд или другим классическим классам уязвимостей.
Так как аутентификация не требуется, атака может быть проведена с любого узла, имеющего сетевой доступ к уязвимому серверу. После получения контроля злоумышленник может повысить свои привилегии, переместиться по сети и атаковать другие системы.
Официальная позиция Oracle
В своём предупреждении Security Alert компания Oracle заявляет: "Мы считаем выполнение рекомендуемых мер по снижению риска приоритетной задачей и настоятельно рекомендуем немедленно принять меры для устранения выявленной угрозы". Oracle подчёркивает, что клиентам следует устанавливать все критические обновления безопасности (Critical Patch Updates, Critical Security Patch Updates) и предупреждения безопасности без задержек. Вендор также рекомендует переходить на поддерживаемые версии продукта, так как для версий, вышедших из поддержки, патчи не тестируются.
Патчи доступны для версий 8.61 и 8.62 через портал загрузки Oracle. Ссылки на документацию по установке и инструкции по исправлению приведены в бюллетене. Для версий, которые не входят в фазы Premier Support или Extended Support, Oracle советует выполнить обновление до поддерживаемого релиза.
Резюме и рекомендации
Организациям, использующим Oracle PeopleSoft Enterprise PeopleTools версий 8.61 и 8.62, следует в максимально короткие сроки применить исправление, опубликованное Oracle 10 июня 2026 года. Учитывая, что уязвимость уже эксплуатируется, каждый день промедления увеличивает риск компрометации. Необходимо проверить, не открыт ли доступ к серверу PeopleTools из интернета, и при возможности ограничить его брандмауэром или VPN. Кроме того, стоит убедиться, что система обновлена до последней поддерживаемой версии, поскольку старые версии могут содержать и другие неисправленные уязвимости.
Владельцам систем рекомендуется также проанализировать логи на предмет подозрительной активности, связанной с компонентом Updates Environment Management, и при наличии признаков атаки провести расследование с привлечением команды реагирования на инциденты. Данная уязвимость - ещё одно напоминание о том, что системы корпоративного уровня требуют своевременного обновления и многоуровневой защиты.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2026-35273
- https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
