Корпорация Oracle опубликовала внеочередной бюллетень безопасности, посвящённый двенадцати уязвимостям в продуктах линейки PeopleSoft. Проблемы затронули платформу PeopleTools версий 8.61 и 8.62, а также модули Campus Community и Student Financials версии 9.2.38. Среди обнаруженных недостатков есть одна критическая уязвимость с оценкой 9.8 балла по шкале CVSS 3.1, остальные одиннадцать отнесены к высокому уровню опасности, одна - к среднему. Производитель уже выпустил корректирующие обновления и рекомендует установить их в кратчайшие сроки.
Детали уязвимостей
Наибольшую угрозу представляет уязвимость CVE-2026-35278, затрагивающая компонент Performance Monitor в PeopleTools 8.61 и 8.62. Условия эксплуатации не требуют аутентификации и сводятся к сетевому доступу по протоколу HTTP. Злоумышленник, успешно реализовавший атаку, получает возможность полностью скомпрометировать сервер PeopleTools - вплоть до выполнения произвольного кода и получения контроля над системой. Вектор CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H указывает на низкую сложность атаки и отсутствие необходимости в привилегиях.
Другие уязвимости в PeopleTools также потенциально опасны. Например, CVE-2026-35271 (CVSS 8.7) затрагивает подкомпонент WebLogic. Она сложнее в эксплуатации (требует высокой сложности атаки), но позволяет неавторизованному злоумышленнику с сетевым доступом по HTTP нарушить конфиденциальность и целостность данных. Примечательно, что атака на данный компонент может затронуть и смежные продукты (scope change). Уязвимости CVE-2026-35272 и CVE-2026-35288 (CVSS 8.4 и 8.2 соответственно) требуют локального доступа к инфраструктуре. Первая из них эксплуатируется без аутентификации и ведёт к полному захвату PeopleTools, вторая требует высоких привилегий, но также угрожает смежным системам.
В модулях Campus Community и Student Financials зафиксированы три уязвимости. CVE-2026-46849 в Student Financials (CVSS 8.1) позволяет аутентифицированному пользователю с низкими привилегиями через сеть по HTTP получить полный доступ к критическим данным и изменять их. CVE-2026-46851 (CVSS 8.1) в подкомпоненте Security Campus Community эксплуатируется удалённо без аутентификации, хотя и требует высокой сложности; успешная атака приводит к захвату модуля. CVE-2026-46979 (CVSS 6.5) в компоненте Integration and Interfaces доступна только привилегированному пользователю, но также допускает несанкционированный доступ и модификацию данных.
В официальном бюллетене Oracle, выпущенном 16 июня 2026 года, перечислены все затронутые версии и даны ссылки на исправления. Вендор подчёркивает необходимость немедленного применения обновлений, особенно для систем, доступных по сети. Учитывая, что часть уязвимостей может эксплуатироваться без какой-либо аутентификации, организации, использующие Oracle PeopleSoft в публичном или корпоративном сегменте, подвергаются повышенному риску компрометации. Аналитики отмечают, что критическая уязвимость CVE-2026-35278 с оценкой 9.8 балла должна быть закрыта в первую очередь, так как её эксплуатация не требует специальных условий и может привести к полной утрате контроля над приложением.
На данный момент все необходимые патчи доступны через портал поддержки Oracle. Администраторам рекомендуется провести инвентаризацию затронутых систем и внедрить обновления без задержек. Промедление с установкой исправлений увеличивает вероятность успешных атак, способных нарушить работу образовательных учреждений и организаций, использующих PeopleSoft для управления кампусом, финансами студентов и корпоративными данными.
Ссылки
