A CVE-2026-35273 egy 9.8-as CVSS-pontszámú, kritikus Remote Code Execution (RCE) sérülékenység az Oracle PeopleSoft Enterprise PeopleTools termékben, amelyet a ShinyHunters (UNC6240) zsarolói csoport már zero-dayként aktívan kihasznált.
A sérülékenység az Updates Environment Management komponensben található, és egy hiányzó hitelesítési ellenőrzésre vezethető vissza. Ez azt jelenti, hogy egy nem hitelesített, hálózaton elérhető támadó HTTP-n keresztül, minimális komplexitással képes teljes rendszerátvételre a célszerveren.
Kizárólag a PeopleSoft Enterprise PeopleTools 8.61-es és 8.62-es verziói érintettek. A patch 2026. június 10-én vált elérhetővé az Oracle által támogatott verziókhoz, a már nem támogatott verziók nem kapnak javítást.
A Google Threat Intelligence Group (GTIG) és a Mandiant 2026. június 11-én közösen megerősítette, hogy a ShinyHunters (UNC6240) ransomware csoport zero-dayként, a patch megjelenése előtt aktívan kihasználta a hibát. A kampány több mint 100 globális szervezetet érintett, az áldozatok 68%-a felsőoktatási intézmény volt.
A CISA a CVE-t felvette a Known Exploited Vulnerabilities (KEV) katalógusba, és a BOD 26-04 irányelv alapján 2026. június 15-i javítási határidőt írt elő a szövetségi szervek számára.
A CVE-2026-35273 a 2026. júniusi Oracle Critical Security Patch Update-en belül is szerepel, amely összesen 243 CVE-t orvosol 245 javítással, 11 Oracle termékcsaládon át. Ezek 49,8%-a kritikus besorolású.
Javasolt az azonnali patch telepítés a PeopleSoft portálon keresztül (8.61, 8.62 verziókhoz).

