В Банк данных угроз безопасности информации (BDU) была зарегистрирована критическая уязвимость, затрагивающая пакет бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools. Проблема получила идентификаторы BDU:2026-08250 и CVE-2026-35273. Ей присвоена рекордная базовая оценка по шкале CVSS 2.0 - 10 баллов из 10. Это значит, что злоумышленник может получить полный контроль над уязвимой системой без каких-либо дополнительных условий.
Детали уязвимости
Уязвимость связана с отсутствием аутентификации для критической функции в компоненте Updates Environment Management. Говоря проще, в модуле управления обновлениями среды PeopleTools не предусмотрена проверка подлинности пользователя при обращении к определённым функциям. Это позволяет неавторизованному нарушителю, действующему удалённо из любой точки сети, отправить специально сформированный запрос и выполнить произвольный код. Выполнение кода означает, что атакующий может внедрить вредоносную программу, похитить данные, нарушить работу или полностью вывести систему из строя.
Под угрозой находятся предприятия, использующие PeopleSoft Enterprise PeopleTools версий 8.61 и 8.62. Этот пакет представляет собой платформу для создания и сопровождения бизнес-приложений, таких как управление персоналом, финансами и цепочками поставок. PeopleSoft широко применяется в крупных организациях по всему миру, включая государственные учреждения, банки, промышленные и телекоммуникационные компании. Таким образом, потенциальный круг жертв очень широк.
Технически уязвимость относится к классу CWE-306 - отсутствие аутентификации для критичной функции. Вектор атаки по классификации CVSS 3.1 имеет значения AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Это означает, что атака совершается удалённо через сеть (AV:N), имеет низкую сложность (AC:L), не требует предварительной аутентификации (PR:N) и не нуждается во взаимодействии с пользователем (UI:N). Проще говоря, злоумышленнику достаточно знать IP-адрес уязвимого сервера и отправить вредоносный HTTP-запрос - никаких паролей или ловушек для сотрудников не нужно.
Опасность усугубляется тем, что код эксплуатации (эксплойт) уже опубликован в открытом доступе. Исследователи безопасности обнаружили ссылки на репозиторий GitHub, содержащий готовую программу для атаки. Это значит, что каждый технически подкованный нарушитель может без труда загрузить и запустить атакующий скрипт. По данным источников, в том числе портала The Register, хакерская группа ShinyHunters уже заявила о массовой эксплуатации этой уязвимости, поразив около ста организаций по всему миру.
Производитель - корпорация Oracle - подтвердил существование проблемы и выпустил обновление безопасности, устраняющее уязвимость. На официальном сайте Oracle опубликовано предупреждение с инструкцией по установке исправления. Компания настоятельно рекомендует всем пользователям PeopleSoft Enterprise PeopleTools версий 8.61 и 8.62 как можно скорее обновить программное обеспечение. Только установка патча полностью блокирует возможность удалённого выполнения кода.
Тем не менее, для тех, кто пока не может остановить работу критически важных систем для обновления, предлагаются компенсирующие меры. Во-первых, следует использовать межсетевые экраны уровня веб-приложений (WAF) - это решения, которые анализируют HTTP-трафик и блокируют подозрительные запросы, способные использовать данную уязвимость. Во-вторых, необходимо ограничить доступ к уязвимому программному обеспечению по принципу "белых списков": разрешить подключения только с доверенных IP-адресов, а из внешних сетей - Интернета - доступ полностью запретить. В-третьих, рекомендуется внедрить системы управления событиями информационной безопасности (SIEM-системы) для мониторинга событий, связанных с обработкой HTTP-запросов к серверам PeopleSoft. Они помогут своевременно выявить следы атаки.
На данный момент уязвимость подтверждена производителем, и её статус - "устранена" (при условии установки обновления). Однако из-за наличия открытого эксплойта и уже зафиксированных случаев эксплуатации, речь идёт не о гипотетической угрозе, а о реальной бреши, которую активно используют злоумышленники. Каждый день промедления с обновлением повышает риск компрометации корпоративных данных и остановки бизнес-процессов.
Для специалистов по защите информации эта ситуация - ещё одно напоминание о важности своевременного управления уязвимостями. PeopleTools является инфраструктурной платформой, и её взлом может дать доступ к множеству связанных систем. Поэтому следует незамедлительно проверить используемые версии и применить патчи. Если обновление невозможно, необходимо ввести жёсткие правила фильтрации сетевого трафика и усилить мониторинг.
В целом, инцидент показывает, что даже крупные вендоры с устоявшимися процессами выпуска обновлений не застрахованы от появления критических дыр. Сочетание отсутствия аутентификации и удалённого выполнения кода делает эту уязвимость одной из самых опасных в этом году. Пользователям Oracle PeopleSoft стоит отнестись к полученным рекомендациям со всей серьёзностью - промедление может стоить дорого.
Ссылки
- https://bdu.fstec.ru/vul/2026-08250
- https://www.cve.org/CVERecord?id=CVE-2026-35273
- https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
- https://github.com/Sabu-coder/CVE-2026-35273-people-soft?ysclid=mqgb5nq4ws12911170
- https://www.theregister.com/cyber-crime/2026/06/11/shinyhunters-claims-oracle-peoplesoft-0-day-hit-100-orgs/5254443
- https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
