Aller au contenu
Kreomnis.Vigie
CVE-2026-35273Critique9.8 KEV

Oracle PeopleSoft : authentification manquante, prise de contrôle non authentifiée

Publiée le 14/06/2026// Kreomnis
CVSS 3.1
9.8
EPSS : probabilité d'exploitation
-
Source : FIRST.org, modèle EPSS v3
Produits/versions affectés
  • Oracle PeopleSoft Enterprise PeopleTools 8.61, 8.62
CISA KEV : exploitation observée

Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.

Le contexte

CVE-2026-35273 est une authentification manquante pour une fonction critique (CWE-306) dans Oracle PeopleSoft Enterprise PeopleTools, l'ossature applicative des ERP RH/Finance PeopleSoft. CVSS 9.8, exploitable à distance, sans authentification, avec un aboutissement possible à la RCE et à la prise de contrôle complète de l'instance.

D'après Mandiant (rapport du 11 juin 2026), la faille a été exploitée comme zero-day avant l'alerte éditeur, avec une activité observée entre le 27 mai et le 9 juin 2026, attribuée à UNC6240 (ShinyHunters), un collectif cybercriminel à motivation financière connu pour le vol de données et l'extorsion. CISA l'a ajoutée au KEV le 12 juin 2026, avec une fenêtre de patch de 3 jours au titre de la nouvelle directive BOD 26-04 (priorisation basée sur le risque).

La mécanique

La fonction critique vulnérable est accessible sans authentification. Un attaquant distant atteint donc une capacité qui aurait dû être protégée, sans présenter d'identifiant, et l'enchaîne vers une exécution de code à distance et la prise de contrôle de PeopleTools.

Compte tenu de la nature de PeopleSoft (données RH, paie, finances, identités), une prise de contrôle ouvre la voie au vol massif de données et à l'extorsion : exactement le mode opératoire de ShinyHunters.

Versions impactées

| Produit | Version | Statut | | --- | --- | --- | | PeopleSoft Enterprise PeopleTools | 8.61, 8.62 | Vulnérable | | PeopleSoft Enterprise PeopleTools | versions corrigées (cf. Oracle Security Alert) | Corrigée |

Remédiation

  1. Appliquer l'alerte de sécurité Oracle sans délai (KEV, échéance fédérale à 3 jours sous BOD 26-04).
  2. Réduire l'exposition : ne pas exposer les interfaces PeopleTools sur Internet ; placer derrière un reverse proxy authentifié / VPN.
  3. Présumer la compromission si l'instance était exposée entre fin mai et mi-juin : la fenêtre d'exploitation zero-day couvre cette période.

Chasse à la compromission

  • Accès aux fonctions PeopleTools sans authentification préalable dans les journaux applicatifs.
  • Exfiltrations volumineuses de données RH/finances, créations de comptes, dépôts de webshells.
  • IoC liés à UNC6240 / ShinyHunters publiés par Mandiant et Rapid7.

Ce qu'il faut retenir

Une fonction critique laissée sans authentification sur un ERP qui concentre paie, RH et identités : CVSS 9.8 et un acteur d'extorsion déjà à l'oeuvre. Le profil idéal d'une fuite de données massive.

Pour les RSSI :

  • Patch sous 3 jours (BOD 26-04) et sortie de toute exposition Internet.

  • Présumez la compromission et lancez la chasse aux IoC ShinyHunters si exposé depuis fin mai.

  • Les ERP sont des cibles de premier rang : leur valeur en données justifie un traitement « périmètre critique », pas « application interne ».

  • Kreomnis

Références

#oracle#peoplesoft#peopletools#auth-bypass#kev#shinyhunters