Oracle - CVE-2026-35273

Date de publication :

Il s'agit d'une vulnérabilité dans le composant Updates Environment Management de PeopleSoft Enterprise PeopleTools.

PeopleSoft Enterprise PeopleTools est la plateforme technique socle de la suite applicative Oracle PeopleSoft, utilisée pour le développement, le déploiement et l'administration des applications PeopleSoft de gestion des ressources humaines, des finances et de la chaîne logistique.

Ce composant, accessible via HTTP, ne requiert aucune authentification pour être atteint. Oracle qualifie cette vulnérabilité d'"easily exploitable".

Elle permet à un attaquant distant non authentifié de prendre le contrôle complet de l'instance PeopleSoft.

CVE-2026-35273

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-306 : Missing Authentication for Critical Function

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   PeopleSoft Enterprise PeopleTools version 8.61
•   PeopleSoft Enterprise PeopleTools version 8.62

Solutions ou recommandations

Se référer au document Patch Availability Document Oracle PeopleSoft publié dans le cadre de cette alerte de sécurité

Liens