Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло новую уязвимость в свой Каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Речь идет о проблеме CVE‑2026‑35273, затрагивающей продукт PeopleSoft Enterprise PeopleTools компании Oracle. Включение в KEV означает, что существуют достоверные доказательства ее активной эксплуатации злоумышленниками. Это требует немедленного внимания со стороны всех организаций, использующих затронутые версии.
Суть уязвимости
CVE‑2026‑35273 относится к категории "Недостаток аутентификации для критической функции" (Missing Authentication for Critical Function) в компоненте Updates Environment Management продукта PeopleSoft Enterprise PeopleTools. Уязвимыми являются версии 8.61 и 8.62. Согласно опубликованным данным, проблема позволяет неаутентифицированному атакующему, имеющему сетевой доступ по протоколу HTTP, скомпрометировать PeopleTools. Успешная эксплуатация может привести к полному захвату этого компонента - атакующий получает возможность выполнять любые действия с конфиденциальностью, целостностью и доступностью затронутой системы.
Базовый показатель CVSS 3.1 для этой уязвимости составляет 9,8 из 10, что соответствует критическому уровню опасности. Вектор атаки - сетевой (AV:N), сложность - низкая (AC:L), привилегии не требуются (PR:N), взаимодействие с пользователем не нужно (UI:N). Влияние на все три аспекта безопасности (конфиденциальность, целостность, доступность) оценивается как высокое (C:H/I:H/A:H). Такая оценка указывает на то, что для эксплуатации достаточно отправить специально сформированный HTTP-запрос к уязвимому серверу, не имея никаких учетных данных.
Анализ и контекст
Уязвимости в платформе PeopleSoft Enterprise PeopleTools представляют особый интерес для злоумышленников по нескольким причинам. Во‑первых, PeopleSoft широко используется крупными организациями для управления кадрами, финансами и другими бизнес-процессами. Компрометация PeopleTools может дать доступ к конфиденциальным данным сотрудников, финансовым записям и внутренним системам. Во‑вторых, критическая оценка 9,8 и отсутствие необходимости в аутентификации делают эту уязвимость крайне привлекательной для массовых сканирований и автоматизированных атак. Компонент Updates Environment Management, где обнаружена проблема, отвечает за управление обновлениями и средой, поэтому его захват может привести к дальнейшему распространению вредоносного кода внутри инфраструктуры.
Добавление в каталог CISA - это не просто формальность. Агентство опирается на разведданные об активной эксплуатации в реальных условиях. Таким образом, риск не ограничивается теоретической возможностью: злоумышленники уже применяют эту уязвимость на практике. Организации, не установившие исправление, находятся в зоне непосредственной угрозы. Анализ вектора (сетевой доступ по HTTP) предполагает, что атака может быть проведена как извне (если PeopleTools доступен через интернет), так и изнутри корпоративной сети, если злоумышленник уже имеет ограниченный доступ.
Следует подчеркнуть, что речь идет именно об уязвимости, а не об инциденте. Уязвимость - это сам дефект в коде или конфигурации, который при определенных условиях может быть использован для атаки. В данном случае факт активной эксплуатации подтвержден, что повышает критичность ситуации.
Цитата из источника
В официальном бюллетене CVE указано: "Уязвимость в продукте PeopleSoft Enterprise PeopleTools Oracle (компонент: Updates Environment Management). Поддерживаемые версии, которые подвержены - 8.61 и 8.62. Легко эксплуатируемая уязвимость позволяет неаутентифицированному атакующему с сетевым доступом через HTTP скомпрометировать PeopleSoft Enterprise PeopleTools. Успешные атаки могут привести к захвату PeopleSoft Enterprise PeopleTools. Базовая оценка CVSS 3.1 - 9,8 (влияние на конфиденциальность, целостность и доступность)". Корпорация Oracle, в свою очередь, выпустила экстренное уведомление в рамках программы Critical Patch Update. Разработчик рекомендует установить последние доступные патчи для версий 8.61 и 8.62.
Резюме и рекомендации
На данный момент Oracle предоставила исправление для CVE‑2026‑35273. Организации, использующие PeopleSoft Enterprise PeopleTools версий 8.61 или 8.62, должны немедленно применить соответствующие обновления безопасности. Промедление с установкой патча создает прямой риск компрометации системы. Администраторам также следует проверить, не были ли уже скомпрометированы их среды: провести аудит логов доступа к PeopleTools, отследить подозрительные HTTP‑запросы и убедиться в отсутствии несанкционированных изменений конфигурации.
CISA также рекомендует всем федеральным гражданским агентствам США в обязательном порядке устранить уязвимость в установленные сроки, а частным организациям - следовать этой же практике. Это один из примеров, когда своевременное обновление программного обеспечения является единственной эффективной мерой защиты. Других способов смягчения риска для версий без патча не существует.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-35273
- https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
- https://www.cisa.gov/news-events/alerts/2026/06/12/cisa-adds-one-known-exploited-vulnerability-catalog
