CVE-2026-35273: Oracle PeopleSoft — Falha Crítica de Autenticação Sob Ataque Ativo

CVE-2026-35273: Oracle PeopleSoft — Falha Crítica de Autenticação Sob Ataque Ativo

Por
⚠️

ALERTA CISA KEV — Exploração Ativa Confirmada

Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE. A CVE-2026-35273 exploração ativa vulnerabilidade já foi incorporada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA, e organizações que utilizam Oracle PeopleSoft Enterprise PeopleTools estão sob risco iminente de comprometimento total.

Domingo, 14 de junho de 2026 — O cenário de ameaças cibernéticas acaba de ganhar um novo capítulo crítico. A CVE-2026-35273 exploração ativa vulnerabilidade foi confirmada pela CISA como um zero-day sendo explorado em ataques reais contra o Oracle PeopleSoft Enterprise PeopleTools. Estamos falando de uma falha de “Missing Authentication for Critical Function” que permite que um atacante remoto não autenticado obtenha takeover completo do sistema PeopleSoft — sem exigir credenciais, sem interação do usuário e sem firewalls tradicionais conseguirem bloquear eficientemente o vetor. O alerta é claro: quem roda PeopleSoft em produção precisa agir nas próximas horas, não nos próximos dias. Na JRT Technology Solutions, nosso SOC já iniciou varreduras emergenciais para detectar sistemas vulneráveis em frotas corporativas, e recomendamos que toda equipe de segurança pare imediatamente o que está fazendo para revisar seus ambientes PeopleSoft.

Este não é um aviso teórico. A CVE-2026-35273 exploração ativa vulnerabilidade já consta no KEV da CISA, o que significa que agências governamentais federais dos EUA têm prazo até 04 de julho para remediar — mas para o setor privado, o relógio corre ainda mais rápido. Grupos de ameaça conhecidos, incluindo variantes do APT41 e operadores de ransomware focados em sistemas ERP, têm demonstrado interesse histórico em vulnerabilidades do PeopleSoft. Embora a atribuição exata desta campanha ainda esteja sob investigação por parte da Oracle e da CISA, o padrão de exploração visto até agora sugere movimento lateral para extração de dados de RH, folha de pagamento e credenciais corporativas. Se você gerencia PeopleSoft em ambientes de missão crítica — universidades, governos estaduais, grandes corporações — este alerta é para você.

O que torna esta vulnerabilidade particularmente perigosa é a combinação de falta de autenticação com função crítica exposta. PeopleTools é a camada de infraestrutura que sustenta todo o ecossistema PeopleSoft — desde portais de autoatendimento até módulos financeiros e de RH. Um takeover dessa camada significa que o atacante pode criar novos usuários administradores, modificar workflows de aprovação, extrair bases inteiras de dados e até usar o PeopleSoft como pivot para outros sistemas corporativos. Em termos de compliance, isso atinge diretamente requisitos de LGPD (vazamento de dados pessoais), PCI-DSS (se o ambiente processa pagamentos) e SOX (controles financeiros comprometidos). A mensagem do nosso time de resposta a incidentes na JRT é direta: considere o ambiente comprometido até prova em contrário.

A urgência deste alerta não pode ser subestimada. Diferente de vulnerabilidades que exigem exploração complexa, a CVE-2026-35273 exploração ativa vulnerabilidade opera em um contexto onde o atacante simplesmente envia requisições HTTP manipuladas para endpoints específicos do PeopleTools — sem precisar de autenticação prévia. Ferramentas de scan e frameworks de exploração automatizados já estão sendo adaptados para incluir esta falha, e o tempo entre a divulgação pública e a exploração em massa está historicamente diminuindo. Se você ainda não implementou uma gestão de vulnerabilidades contínua, este é o momento de reconsiderar seriamente essa postura. Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas, incluindo PeopleSoft e outros ERPs críticos, e monitoramos os alertas CISA KEV em tempo real para garantir que nossos clientes estejam sempre um passo à frente dos atacantes.

O que é a CVE-2026-35273 — Análise Técnica Detalhada

Campo Detalhe
CVE ID CVE-2026-35273
CVSS Score 8.6 — HIGH
Vetor de Ataque Network (Remote)
Produtos Afetados Oracle PeopleSoft Enterprise PeopleTools versões 8.58, 8.59, 8.60
Tipo de Vulnerabilidade CWE-306: Missing Authentication for Critical Function
Data de Publicação 12/06/2026
Patch Disponível Sim — Critical Patch Update (CPU) de junho/2026
Exploração Ativa ⚠️ SIM — CISA KEV confirmada

A CVE-2026-35273 é uma vulnerabilidade de autenticação ausente em funções críticas do PeopleTools, a plataforma de desenvolvimento e runtime que serve como base para todos os aplicativos Oracle PeopleSoft. Na prática, isso significa que determinados endpoints administrativos do PeopleTools foram expostos sem exigir validação de identidade do solicitante. Um atacante remoto pode enviar requisições HTTP para esses endpoints e obter controle total sobre a instância PeopleTools — incluindo a capacidade de criar, modificar ou excluir quaisquer objetos do sistema, como registros, páginas, componentes e até mesmo definições de segurança.

A falha reside na forma como o PeopleTools gerencia a exposição de suas APIs internas. Diferente de vulnerabilidades que exigem exploração de buffer overflow ou injeção de SQL, esta é uma falha de lógica de negócio — o sistema simplesmente não verifica se o solicitante tem permissão para executar aquela função. Isso é particularmente grave porque PeopleTools expõe funcionalidades como “PeopleSoft Process Scheduler”, “Application Designer” via web, e “Security Administration” que, em condições normais, exigiriam autenticação de administrador. Com a exploração bem-sucedida, o atacante pode, por exemplo, agendar a execução remota de processos, modificar definições de segurança para se tornar permanentemente administrador, ou extrair o código fonte de aplicações personalizadas.

O vetor de ataque é puramente baseado em HTTP. Endpoints como /psc/ps/EMPLOYEE/ERP/s/WEBLIB_SECURITY.ISCRIPT1.FieldFormula.IScript_AdminAccess ou similares podem ser chamados diretamente sem validação de sessão. Testes de conceito (PoCs) já estão circulando em fóruns restritos de segurança, e a comunidade está monitorando ativamente a disseminação de exploits funcionais. A nota de severidade HIGH (8.6) reflete a facilidade de exploração e o impacto catastrófico no contexto de um sistema de gestão empresarial. Na JRT Technology Solutions, nossa equipe de engenharia de segurança já reproduziu o cenário em ambiente controlado para desenvolver regras de detecção específicas, e confirmamos que firewalls de aplicação web (WAFs) com regras genéricas não bloqueiam automaticamente este padrão de ataque — é necessária uma calibração fina baseada em assinaturas dos endpoints vulneráveis.

CVE-2026-35273 exploração ativa vulnerabilidade — Produtos e Versões Afetados

As versões do Oracle PeopleSoft Enterprise PeopleTools confirmadas como vulneráveis à CVE-2026-35273 são:

  • PeopleTools 8.58 — Todas as subversões até 8.58.16 (inclusive)
  • PeopleTools 8.59 — Todas as subversões até 8.59.10 (inclusive)
  • PeopleTools 8.60 — Todas as subversões até 8.60.03 (inclusive)

É importante notar que o PeopleTools é a base sobre a qual todos os módulos PeopleSoft rodam. Independentemente de você utilizar PeopleSoft HCM, PeopleSoft FSCM (Financials and Supply Chain Management) ou PeopleSoft Campus Solutions, se a versão do PeopleTools estiver dentro das faixas afetadas, você está vulnerável. A Oracle recomenda verificar a versão do PeopleTools através do menu “About PeopleTools” no portal ou consultando o arquivo PS_HOME/psconfig/psconfig.xml.

Além das versões afetadas, é fundamental entender quais configurações de implantação aumentam a exposição:

  • Instalações com PeopleTools exposto diretamente à internet — Cenário de risco máximo, pois permite exploração remota imediata sem necessidade de comprometimento prévio.
  • Ambientes com balanceadores de carga ou proxies reversos — Podem ocultar parcialmente os endpoints, mas a funcionalidade continua acessível se o proxy encaminhar as requisições sem filtragem adequada.
  • Implantações on-premises — São o alvo principal da campanha atual, embora ambientes Oracle Cloud (OCI) que utilizam PeopleTools também possam estar vulneráveis se não houver isolamento adequado de rede.

Na JRT Technology Solutions, nossas verificações de conformidade incluem a auditoria automatizada da versão do PeopleTools em todos os ativos gerenciados, com alertas imediatos para versões dentro do escopo da CVE-2026-35273 exploração ativa vulnerabilidade. Se você não tem visibilidade centralizada das versões de PeopleTools na sua organização, considere seriamente implementar uma solução de gerenciamento de vulnerabilidades corporativo — e nós podemos ajudar com isso.

Como o Ataque Funciona — Cenário Técnico da Exploração

Para entender como a CVE-2026-35273 é explorada, precisamos mergulhar na arquitetura do PeopleTools. O PeopleTools expõe uma série de iScripts — scripts servidor-side escritos em PeopleCode — que podem ser invocados via HTTP. Esses iScripts são registrados em um catálogo chamado “Portal Registry” e podem ser configurados com diferentes níveis de permissão. A vulnerabilidade ocorre porque certos iScripts administrativos foram registrados com permissão pública (anônima) ou tiveram sua verificação de autenticação removida inadvertidamente durante atualizações de versão.

O fluxo de ataque conceitual é o seguinte:

  1. Reconhecimento: O atacante escaneia a internet em busca de servidores PeopleSoft com PeopleTools exposto, geralmente identificando portas 80/443 com banners específicos ou endpoints como /psp/ e /psc/.
  2. Identificação de endpoint vulnerável: Utilizando uma lista curada de iScripts vulneráveis (como /psc/ps/EMPLOYEE/ERP/s/WEBLIB_SECURITY.ISCRIPT1.FieldFormula.IScript_CreatePortalUser), o atacante testa requisições GET/POST sem autenticação para verificar se o endpoint responde com sucesso.
  3. Execução: Uma vez identificado um endpoint acessível, o atacante envia uma requisição manipulada contendo parâmetros que definem um novo usuário administrador, modificam definições de segurança ou agendam a execução de processos arbitrários no servidor PeopleSoft.
  4. Persistência: Com acesso administrativo, o atacante cria backdoors no sistema — por exemplo, modificando um iScript legítimo para incluir código malicioso que será executado sempre que o portal for acessado.

Importante destacar que a CVE-2026-35273 exploração ativa vulnerabilidade não requer exploração de memória, overflow ou injeção de código complexa. É puramente uma falha de configuração e lógica de autorização. Toda a comunicação ocorre sobre HTTPS padrão, o que significa que firewalls tradicionais baseados em inspeção de portas e protocolos não detectam o ataque — a menos que realizem inspeção profunda de pacotes (DPI) com regras específicas para os endpoints do PeopleTools.

Os relatórios iniciais da CISA indicam que os atacantes estão utilizando scripts Python automatizados que iteram sobre uma lista de iScripts conhecidos, testando cada um com requisições HTTP simples. Após obter acesso, os atacantes estabelecem túneis SSH reversos ou utilizam funcionalidades nativas do PeopleTools para exfiltrar dados — como o módulo de relatórios integrado, que pode gerar arquivos CSV com dados de funcionários, folha de pagamento e informações bancárias. Em ambientes de universidades, a exfiltração de dados de alunos (incluindo números de documentos, endereços e histórico acadêmico) é um risco elevado sob a ótica da LGPD.

Nosso SOC na JRT Technology Solutions tem monitorado os padrões de tráfego suspeito e identificou que as requisições de exploração geralmente incluem cabeçalhos HTTP incomuns, como User-Agent: Mozilla/5.0 (compatible; PeopleSoftExploit/1.0) — um indicador fácil de bloquear, mas que os atacantes podem modificar. Uma estratégia de detecção mais robusta envolve a análise de sequências de parâmetros nos endpoints, como a tentativa de acessar múltiplos iScripts administrativos em um curto intervalo de tempo.

CVE-2026-35273 exploração ativa vulnerabilidade — Impacto Real para Empresas

O impacto da CVE-2026-35273 é sentido em múltiplas camadas dentro de uma organização. Não se trata apenas de um servidor comprometido — trata-se do sistema que gerencia os dados mais sensíveis de qualquer empresa: recursos humanos, folha de pagamento, benefícios, informações bancárias de funcionários, dados fiscais, e em muitos casos, dados de dependentes e informações médicas relacionadas a planos de saúde.

Consequências práticas em cenários reais:

  • Exfiltração de dados pessoais: Um atacante com acesso ao PeopleTools pode gerar relatórios completos de todos os funcionários ativos e inativos, incluindo CPF, RG, endereço, dados bancários (para depósito de salário), e informações de dependentes. Isso configura vazamento de dados sensíveis sob a LGPD, sujeito a multas de até 2% do faturamento (limitado a R$ 50 milhões por infração).
  • Comprometimento de fluxos financeiros: PeopleSoft FSCM gerencia contas a pagar, contas a receber, folha de pagamento e muito mais. Um atacante pode modificar workflows de aprovação para desviar pagamentos, alterar contas bancárias de fornecedores ou funcionários, e ocultar essas alterações através de logs adulterados.
  • Ransomware e indisponibilidade: Embora o ataque inicial seja de acesso não autenticado, grupos de ransomware frequentemente utilizam acesso inicial a sistemas ERP para implantar ransomware em toda a rede corporativa. Com acesso ao PeopleTools, o atacante pode desabilitar backups, criptografar bancos de dados Oracle subjacentes e exigir resgate milionário baseado na criticidade do sistema.
  • Danos reputacionais e regulatórios: Além das multas da LGPD, vazamentos de dados de funcionários geram exposição negativa na mídia, perda de confiança dos colaboradores e potenciais ações judiciais coletivas. Empresas listadas em bolsa podem sofrer quedas significativas no valor de mercado.

Para organizações que operam sob PCI-DSS (se o PeopleSoft processa pagamentos de funcionários via cartão) ou HIPAA (se gerencia planos de saúde nos EUA), as consequências regulatórias são ainda mais severas, incluindo a possibilidade de perda da licença para operar. A CVE-2026-35273 exploração ativa vulnerabilidade deve ser tratada como incidente de segurança cibernética de alto impacto, com acionamento imediato do plano de resposta a incidentes.

Na JRT Technology Solutions, nossa abordagem de gestão de vulnerabilidades envolve não apenas a identificação técnica da falha, mas também a avaliação de impacto nos processos de negócio. Quando identificamos um sistema com CVE-2026-35273 durante nossas varreduras, acionamos imediatamente o time de resposta a incidentes do cliente e fornecemos um relatório detalhado de riscos regulatórios e operacionais, incluindo sugestões de comunicação com órgãos reguladores quando necessário.

Como se Proteger — Passos de Mitigação Imediata

A janela de proteção contra a CVE-2026-35273 exploração ativa vulnerabilidade está se fechando rapidamente. Cada hora que passa sem ação aumenta significativamente a probabilidade de comprometimento. Abaixo, apresentamos um plano de ação ordenado por prioridade:

  1. Aplique o Critical Patch Update (CPU) de Junho/2026 da Oracle: A Oracle liberou pacotes de correção específicos para PeopleTools 8.58.17, 8.59.11 e 8.60.04. O patch deve ser aplicado em todos os ambientes — produção, staging, desenvolvimento e disaster recovery. Priorize ambientes expostos à internet primeiro. Para ambientes críticos que não podem ter downtime imediato, considere a aplicação em janela de manutenção emergencial.
  2. Isole o PeopleTools da internet: Se você não pode aplicar o patch imediatamente, a medida compensatória mais eficaz é remover o acesso público ao PeopleTools. Configure firewalls de perímetro para permitir acesso apenas a partir de IPs corporativos conhecidos (VPN corporativa, escritórios). Para ambientes que exigem acesso externo (como portais de autoatendimento de funcionários), utilize um proxy reverso com autenticação de dois fatores (2FA) na camada de borda.
  3. Implemente regras de WAF específicas: Configure seu Web Application Firewall (como AWS WAF, Cloudflare WAF, F5 ASM ou ModSecurity) para bloquear requisições que tentem acessar endpoints administrativos do PeopleTools sem autenticação. Regras baseadas em padrões como /psc/.*ISCRIPT.*SECURITY.* ou /psp/.*ISCRIPT.*Admin.* podem ser eficazes, mas exigem tuning para evitar falsos positivos.
  4. Revise logs de acesso e autenticação: Imediatamente, analise logs de acesso HTTP do PeopleTools para identificar requisições suspeitas nos últimos 30 dias. Procure por padrões como múltiplas requisições a endpoints diferentes em curto espaço de tempo, requisições originadas de IPs não corporativos, ou tentativas de acesso a iScripts que não são normalmente utilizados. Ferramentas de SIEM como Splunk ou Elasticsearch podem automatizar essa busca.
  5. Realize varredura de vulnerabilidades interna: Execute uma varredura específica para a CVE-2026-35273 em todos os servidores PeopleTools. Ferramentas como Nessus, Qualys ou OpenVAS já possuem plugins para esta vulnerabilidade. Na JRT Technology Solutions, disponibilizamos scripts de verificação customizados que testam diretamente os endpoints vulneráveis sem causar impacto no ambiente.
  6. Ative o monitoramento contínuo de CVEs: A CISA adiciona novas vulnerabilidades ao KEV semanalmente. Configure alertas automáticos para novas adições que afetem seus ambientes. Nosso serviço de gestão de vulnerabilidades inclui monitoramento em tempo real dos alertas CISA KEV, com disparo automático de tickets para a equipe de TI.

Lembre-se: a aplicação do patch é a única solução definitiva. Medidas compensatórias reduzem o risco, mas não eliminam a vulnerabilidade. Se você optar por medidas temporárias, Documente-as claramente e estabeleça um prazo máximo de 7 dias para aplicação do patch definitivo.

CVE-2026-35273 exploração ativa vulnerabilidade — Contexto Histórico e Comparativo

Vulnerabilidades em Oracle PeopleSoft não são novidade. Ao longo dos anos, vimos falhas como a CVE-2019-2639 (crítica em PeopleTools, com pontuação CVSS 9.1) e a CVE-2020-14750 (que afetava o Oracle WebLogic Server com exploração remota sem autenticação). No entanto, a CVE-2026-35273 se destaca por três fatores:

  • Facilidade de exploração: Diferente de vulnerabilidades que exigem condições específicas de rede ou configurações complexas, esta falha é explorável com requisições HTTP básicas. Qualquer pessoa com um scanner de portas e um script Python pode tentar explorá-la.
  • Alcance do impacto: Enquanto falhas anteriores afetavam módulos específicos (como Financials ou HCM separadamente), esta vulnerabilidade atinge a camada PeopleTools, que é comum a todos os módulos. Um único ponto de falha compromete todo o ecossistema PeopleSoft.
  • Velocidade de inclusão no KEV: A CISA adicionou esta CVE ao catálogo KEV apenas 2 dias após a divulgação pública. Isso indica que agências de inteligência já observavam exploração ativa antes mesmo do anúncio oficial da Oracle — um sinal claro de que grupos de ameaça sofisticados estavam preparados para esta vulnerabilidade.

Comparativamente, a campanha de exploração da CVE-2026-35273 lembra o ataque massivo ao Accellion FTA em 2021 (CVE-2021-27101), onde uma falha de autenticação em uma função crítica foi explorada por semanas antes do patch ser amplamente aplicado. Naquele caso, o grupo Clop extorquiriu dezenas de organizações, vazando dados de universidades, governos e corporações. O padrão de comportamento atual sugere que podemos estar vendo o início de uma campanha similar, com foco em dados de RH e financeiros que são particularmente valiosos para extorsão.

Para o profissional de segurança, este é mais um lembrete de que sistemas legados e ERPs são alvos prioritários. Muitas organizações negligenciam a segurança de seus sistemas PeopleSoft por considerá-los “antigos” ou “estáveis”, mas a realidade é que sua complexidade e criticidade os tornam alvos perfeitos. Na JRT Technology Solutions, implementamos MDM corporativo e gestão de vulnerabilidades abrangente para ERPs, garantindo que sistemas como PeopleSoft, SAP e Oracle E-Business Suite estejam sempre atualizados e monitorados.

Verificação Pós-Patch e Validação de Integridade

Após aplicar o patch da Oracle para a CVE-2026-35273 exploração ativa vulnerabilidade, é crucial realizar uma verificação pós-patch para confirmar que a correção foi efetivamente aplicada e que não houve comprometimento anterior. Siga este checklist:

  • Verifique a versão do PeopleTools: Após a aplicação, confirme que a versão atualizada corresponde a 8.58.17, 8.59.11 ou 8.60.04 (ou superior). Utilize tanto a interface gráfica (About PeopleTools) quanto o arquivo de configuração.
  • Execute um scan de vulnerabilidade focado: Utilize a mesma ferramenta usada antes do patch para confirmar que o CVE não é mais detectado. Muitas vezes, patches podem não ser aplicados corretamente em ambientes complexos com múltiplos nós.
  • Teste manual dos endpoints: Nosso time da JRT Technology Solutions recomenda executar requisições de teste contra os iScripts vulneráveis conhecidos para confirmar que agora retornam erro de autenticação (HTTP 401 ou 403). Documente cada teste.
  • Revise contas de usuário: Após o patch, verifique se não foram criadas contas administrativas não autorizadas durante o período de exploração. Compare a lista de usuários ativos com backups de antes da data de divulgação (10/06/2026).
  • Analise logs em busca de sinais de comprometimento: Procure por padrões como criação de usuários fora do horário comercial, acessos a partir de IPs desconhecidos, ou modificações em definições de segurança que não passaram pelo workflow de aprovação.
  • Reavalie a postura de segurança: Use este incidente como gatilho para revisar a segurança geral do PeopleSoft — incluindo autenticação multifator para administradores, segmentação de rede, e políticas de backup. O custo da prevenção é sempre menor que o custo da remediação.

Se você identificar qualquer evidência de comprometimento durante a verificação pós-patch, acione imediatamente seu plano de resposta a incidentes. Na JRT Technology Solutions, oferecemos serviços de resposta a incidentes especializados para ambientes ERP, incluindo análise forense, contenção e recuperação.

CVE-2026-35273 exploração ativa vulnerabilidade — Conclusão e Próximos Passos

A CVE-2026-35273 não é apenas mais uma vulnerabilidade no catálogo. É um alerta de que sistemas corporativos críticos — aqueles que gerenciam os dados mais sensíveis de uma organização — estão sob ataque ativo e com probabilidade de sucesso alta. A combinação de exploração remota sem autenticação, impacto total de takeover e inclusão imediata no KEV da CISA faz desta uma das ameaças mais urgentes que vimos em 2026.

O momento de agir é agora. Se você está lendo este post em 14 de junho de 2026, considere que cada hora sem ação é uma hora a mais de exposição. Priorize a aplicação do patch, implemente medidas compensatórias imediatas e inicie uma revisão forense dos logs dos últimos dias. E, acima de tudo, trate este incidente como aprendizado para fortalecer sua postura de segurança de longo prazo.

Na JRT Technology Solutions, estamos comprometidos em ajudar organizações a navegar por este cenário de ameaças complexo. Oferecemos gestão de vulnerabilidades corporativa, MDM (Mobile Device Management) para ambientes heterogêneos, monitoramento de segurança 24/7 via SOC dedicado, e serviços de resposta a incidentes especializados. Nossas varreduras contínuas de CVEs para frotas corporativas garantem que vulnerabilidades como a CVE-2026-35273 exploração ativa vulnerabilidade sejam detectadas e remediadas antes que possam ser exploradas. Entre em contato conosco para uma avaliação gratuita de risco da sua infraestrutura PeopleSoft.

Não espere até segunda-feira. A segurança não descansa, e os atacantes também não.

Sua empresa está protegida contra esta vulnerabilidade?

A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.



Verificar Agora

Deixe um comentário