В платформе Oracle PeopleSoft обнаружена критическая уязвимость: организациям рекомендуется незамедлительно установить обновления

Компания Oracle выпустила экстренное уведомление по безопасности (Security Alert) для устранения критической уязвимости, обнаруженной в платформе PeopleSoft Enterprise PeopleTools. Уязвимость, зарегистрированная под идентификатором CVE-2026-35273, представляет особую опасность, поскольку позволяет выполнять произвольный код удалённо (Remote Code Execution, RCE).

Согласно системе оценки CVSS v3.1, уязвимость получила 9,8 балла из 10, что соответствует критическому уровню опасности и указывает на необходимость её незамедлительного устранения.

В чём заключается основная опасность уязвимости?

По данным специалистов, уязвимость обнаружена в компоненте Updates Environment Management программного комплекса PeopleSoft Enterprise PeopleTools. Наиболее опасной особенностью является то, что для её эксплуатации злоумышленнику не требуется проходить аутентификацию или взаимодействовать с пользователем.

Иными словами, уязвимые экземпляры PeopleSoft, доступные из сети Интернет, могут быть атакованы удалённо. В случае успешной эксплуатации злоумышленник получает возможность выполнять произвольные команды на сервере, устанавливать вредоносное программное обеспечение или полностью скомпрометировать систему.

В сфере кибербезопасности уязвимости класса RCE без аутентификации считаются одними из наиболее опасных, поскольку не требуют каких-либо действий со стороны пользователя и позволяют осуществлять атаки полностью удалённо.

Какие системы находятся под угрозой?

Согласно информации Oracle, уязвимость затрагивает следующие версии:

  • PeopleSoft Enterprise PeopleTools 8.61;
  • PeopleSoft Enterprise PeopleTools 8.62.

Кроме того, Oracle предупреждает, что более ранние версии, а также версии, срок поддержки которых уже завершён, также могут быть подвержены данной уязвимости, хотя официальное тестирование таких версий не проводилось.

Это создаёт дополнительные риски для организаций, продолжающих использовать устаревшие версии платформы. Oracle предоставляет исправления безопасности только для версий, находящихся в рамках программ Premier Support или Extended Support.

В результате организации, использующие неподдерживаемые версии PeopleSoft, остаются не только уязвимыми перед уже известными угрозами, но и лишаются возможности получать новые обновления безопасности.

К каким последствиям может привести эксплуатация?

При успешной эксплуатации данной уязвимости злоумышленники могут:

  • удалённо выполнять вредоносный код на сервере;
  • получать доступ к конфиденциальной корпоративной информации;
  • изменять учётные записи пользователей и конфигурацию системы;
  • устанавливать вредоносное программное обеспечение и компоненты типа Backdoor;
  • развивать атаку внутри корпоративной сети и компрометировать другие системы;
  • нарушать работу сервисов или полностью выводить их из строя.

Следует учитывать, что платформа PeopleSoft широко используется для управления человеческими ресурсами (HR), финансовыми операциями, расчётом заработной платы, закупками и другими критически важными бизнес-процессами. Поэтому успешная атака может привести к серьёзным финансовым потерям и нарушению деятельности организации.

Как была обнаружена уязвимость?

Уязвимость была выявлена исследователями программы Zero Day Initiative (ZDI) компании Trend Micro. В частности, о ней сообщили специалисты Bobby Gould, Lucas Miller и Minh Giang, которые передали информацию компании Oracle в рамках ответственного раскрытия информации.

По оценке исследователей, сложность эксплуатации данной уязвимости является низкой, что значительно повышает вероятность её использования в реальных кибератаках.

Практика показывает, что подобные критические уязвимости в корпоративных системах, доступных из Интернета, зачастую начинают активно эксплуатироваться злоумышленниками уже вскоре после публикации информации о них с использованием массового сканирования и автоматизированных эксплойтов.

Рекомендации для организаций

С учётом существующей угрозы Oracle и специалисты по информационной безопасности рекомендуют:

  • незамедлительно установить выпущенные Oracle обновления безопасности;
  • ограничить прямой доступ к серверам PeopleSoft из сети Интернет;
  • организовать постоянный мониторинг журналов событий (логов) и событий информационной безопасности;
  • внедрить сегментацию сети и разместить критически важные системы в отдельных защищённых сегментах;
  • использовать Web Application Firewall (WAF) и другие средства защиты;
  • обновить устаревшие и неподдерживаемые версии платформы;
  • регулярно создавать резервные копии данных и проверять возможность их восстановления.

Уязвимость CVE-2026-35273 является одной из наиболее опасных, обнаруженных в платформе Oracle PeopleSoft за последнее время. Возможность удалённого выполнения произвольного кода без прохождения аутентификации, низкая сложность эксплуатации и вероятность полного компрометирования системы требуют принятия незамедлительных мер по защите.

Всем организациям, использующим платформу Oracle PeopleSoft, рекомендуется в приоритетном порядке установить соответствующие обновления безопасности, усилить мониторинг своих информационных систем, а также пересмотреть доступность сервисов, опубликованных в сети Интернет. В противном случае успешная эксплуатация данной уязвимости может привести к серьёзному ущербу для бизнес-процессов, финансовых данных и информационной инфраструктуры организации.