Oracle предупредила о критической RCE-уязвимости PeopleSoft на фоне сообщений об атаках ShinyHunters

Oracle 10 июня опубликовала предупреждение по CVE-2026-35273 в PeopleSoft PeopleTools: уязвимость с оценкой CVSS 9,8 удаленно эксплуатируется без аутентификации и может привести к выполнению кода. В тот же день TechCrunch и BleepingComputer сообщили, что группировка ShinyHunters заявляет о компрометации PeopleSoft-серверов более чем у 100 организаций, в основном университетов; эта часть остается утверждением злоумышленников.

Oracle 10 июня выпустила Security Alert по CVE-2026-35273 в Oracle PeopleSoft PeopleTools. Уязвимость затрагивает версии 8.61 и 8.62, относится к компоненту Updates Environment Management, доступна по HTTP для удаленной эксплуатации без учетных данных и при успешной атаке может привести к удаленному выполнению кода. Оценка CVSS 3.1 — 9,8; Oracle рекомендует немедленно применить исправления и меры защиты.

На этом фоне BleepingComputer и TechCrunch сообщили о заявлениях ShinyHunters — группировки кибервымогателей, специализирующейся на хищении данных и вымогательстве. По словам представителей группы, атакованы PeopleSoft-серверы более чем 100 организаций, многие из них — университеты; BleepingComputer приводит также утверждение о 300 затронутых инстансах, включая облачные и локальные установки клиентов.

Злоумышленники утверждают, что у жертв могли быть похищены студенческие, абитуриентские, административные, медицинские, иммиграционные данные и сведения о финансовой помощи, включая адреса, телефоны, электронную почту и даты рождения. Oracle в своем предупреждении не упоминает ShinyHunters и публично не связывает CVE-2026-35273 с этими сообщениями, поэтому предполагаемые инциденты следует рассматривать как неподтвержденные заявления атакующих, а уязвимость — как отдельный подтвержденный риск, требующий обновления PeopleSoft.