CVE-2026-35273

Oracle PeopleSoft Enterprise PeopleTools

КРИТИЧЕСКИЙ

Вероятность (EPSS) 92.3%

Тяжесть (CVSS) CVSS 9.8

Дата обнаружения

2026-06-12

Профиль угрозы (Вектор)

Доступ

Сеть

Сложность

Низкая

Привилегии

Не требуются

Жертва

Бездействует

Строка: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Официальное описание

Oracle PeopleSoft Enterprise PeopleTools contains a missing authentication for critical function vulnerability which could allow an unauthenticated attacker to obtain takeover of PeopleSoft Enterprise PeopleTools.

Технический анализ и план устранения

Суть уязвимости

CVE-2026-35273 представляет собой критическую брешь в механизме проверки подлинности (Missing Authentication for Critical Function) в компоненте Oracle PeopleSoft Enterprise PeopleTools.

Уязвимость позволяет неавторизованному злоумышленнику получить доступ к критически важным функциям системы через сетевой протокол HTTP без ввода логина и пароля.

Успешная эксплуатация данной уязвимости приводит к полной компрометации (takeover) экземпляра PeopleSoft, позволяя атакующему изменять данные, создавать учетные записи администраторов или нарушать доступность сервиса.

Как исправить

Основным способом устранения является установка актуального пакета обновлений безопасности из цикла Critical Patch Update (CPU).

Определите текущую версию PeopleTools и загрузите соответствующий Patch Set Update (PSU) с портала My Oracle Support (MOS).

Остановите серверы приложений (App Servers), серверы планировщика (Process Schedulers) и веб-серверы (PIA).

Примените исправление с помощью утилиты OPatch:

opatch apply

После применения патча очистите кэш серверов приложений и веб-серверов:

rm -rf $PS_CFG_HOME/appserv/<DOMAIN>/CACHE/*

rm -rf $PS_CFG_HOME/webserv/<DOMAIN>/applications/peoplesoft/PORTAL.war/WEB-INF/psftcache/*

Перезапустите все компоненты системы и проверьте версию установленного ПО в файле patch_inventory.

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риск эксплуатации следующими методами:

Настройте правила на Web Application Firewall (WAF) для блокировки подозрительных запросов к административным эндпоинтам /psp/ и /psc/.

Ограничьте доступ к консоли управления PeopleSoft (PIA) на уровне сетевого экрана (L3/L4), разрешив подключения только с доверенных IP-адресов администраторов.

Включите расширенное логирование HTTP-запросов на веб-сервере (Oracle WebLogic) для обнаружения попыток обращения к критическим функциям без сессионных куки.

tail -f access.log | grep -E "admin|config|setup"

Используйте обратный прокси-сервер для принудительной проверки аутентификации на уровне периметра перед пересылкой трафика на серверы PeopleSoft.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

Обсуждение и опыт коллег

Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей