Aktívan kihasznált, kritikus RCE-sérülékenység az Oracle PeopleSoftban

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A CVE-2026-35273 egy 9.8-as CVSS-pontszámú, kritikus Remote Code Execution (RCE) sérülékenység az Oracle PeopleSoft Enterprise PeopleTools termékben, amelyet a ShinyHunters (UNC6240) zsarolói csoport már zero-dayként aktívan kihasznált.

A sérülékenység az Updates Environment Management komponensben található, és egy hiányzó hitelesítési ellenőrzésre vezethető vissza. Ez azt jelenti, hogy egy nem hitelesített, hálózaton elérhető támadó HTTP-n keresztül, minimális komplexitással képes teljes rendszerátvételre a célszerveren.

Kizárólag a PeopleSoft Enterprise PeopleTools 8.61-es és 8.62-es verziói érintettek. A patch 2026. június 10-én vált elérhetővé az Oracle által támogatott verziókhoz, a már nem támogatott verziók nem kapnak javítást.

A Google Threat Intelligence Group (GTIG) és a Mandiant 2026. június 11-én közösen megerősítette, hogy a ShinyHunters (UNC6240) ransomware csoport zero-dayként, a patch megjelenése előtt aktívan kihasználta a hibát. A kampány több mint 100 globális szervezetet érintett, az áldozatok 68%-a felsőoktatási intézmény volt.

A CISA a CVE-t felvette a Known Exploited Vulnerabilities (KEV) katalógusba, és a BOD 26-04 irányelv alapján 2026. június 15-i javítási határidőt írt elő a szövetségi szervek számára.

A CVE-2026-35273 a 2026. júniusi Oracle Critical Security Patch Update-en belül is szerepel, amely összesen 243 CVE-t orvosol 245 javítással, 11 Oracle termékcsaládon át. Ezek 49,8%-a kritikus besorolású.

Javasolt az azonnali patch telepítés a PeopleSoft portálon keresztül (8.61, 8.62 verziókhoz).