{"id":1053,"date":"2026-06-13T09:18:14","date_gmt":"2026-06-13T12:18:14","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/13\/cve-2026-35273-peopletools-sem-autenticacao-alerta-maximo\/"},"modified":"2026-06-13T09:18:14","modified_gmt":"2026-06-13T12:18:14","slug":"cve-2026-35273-peopletools-sem-autenticacao-alerta-maximo","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/13\/cve-2026-35273-peopletools-sem-autenticacao-alerta-maximo\/","title":{"rendered":"CVE-2026-35273: PeopleTools sem Autentica\u00e7\u00e3o \u2014 ALERTA M\u00c1XIMO"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

O CISA KEV<\/strong> acaba de adicionar a CVE-2026-35273<\/strong> ao cat\u00e1logo de vulnerabilidades exploradas ativamente, e o cen\u00e1rio \u00e9 cr\u00edtico para qualquer organiza\u00e7\u00e3o que mantenha sistemas Oracle PeopleSoft. Estamos falando de uma falha de missing authentication for critical function<\/strong> no PeopleTools que permite que um atacante remoto, sem qualquer credencial, obtenha takeover completo<\/strong> do ambiente PeopleSoft. A explora\u00e7\u00e3o ativa da vulnerabilidade<\/strong> j\u00e1 foi confirmada em campo, e a janela de prote\u00e7\u00e3o \u2014 que j\u00e1 era zero \u2014 est\u00e1 se fechando rapidamente. Neste post t\u00e9cnico, vamos dissecar cada aspecto dessa CVE, desde a an\u00e1lise da falha at\u00e9 as a\u00e7\u00f5es de remedia\u00e7\u00e3o que voc\u00ea precisa executar agora mesmo.<\/p>\n

Este n\u00e3o \u00e9 um alerta comum. A CVE-2026-35273<\/strong> representa um risco direto para a camada de banco de dados corporativo, uma vez que PeopleTools \u00e9 a funda\u00e7\u00e3o sobre a qual todo o ecossistema PeopleSoft \u00e9 constru\u00eddo. Um takeover total significa que o atacante pode ler, modificar e exfiltrar qualquer dado armazenado, incluindo informa\u00e7\u00f5es financeiras, RH, folha de pagamento e compliance. Se sua empresa depende de Oracle PeopleSoft para opera\u00e7\u00f5es cr\u00edticas, este artigo \u00e9 leitura obrigat\u00f3ria.<\/p>\n

Na JRT Technology Solutions<\/strong>, nosso SOC monitora alertas CISA KEV em tempo real, e j\u00e1 estamos acionando procedimentos de conten\u00e7\u00e3o para clientes que utilizam PeopleSoft. O padr\u00e3o de explora\u00e7\u00e3o que observamos envolve varreduras automatizadas em busca de inst\u00e2ncias PeopleTools expostas na internet, seguidas de inje\u00e7\u00e3o de comandos para estabelecer persist\u00eancia. A recomenda\u00e7\u00e3o, neste s\u00e1bado, 13 de junho de 2026, \u00e9 tratar isso como incidente de seguran\u00e7a de n\u00edvel cr\u00edtico.<\/p>\n

O que \u00e9 a CVE-2026-35273 \u2014 A Falha de Autentica\u00e7\u00e3o no PeopleTools<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-35273<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.6 \u2014 HIGH<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nOracle PeopleSoft Enterprise PeopleTools vers\u00f5es 8.59, 8.60, 8.61<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-306: Missing Authentication for Critical Function<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n02\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 Oracle Critical Patch Update (CPU) Junho 2026<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A vulnerabilidade reside no componente de servidor web do PeopleTools. Especificamente, uma fun\u00e7\u00e3o cr\u00edtica de administra\u00e7\u00e3o \u2014 respons\u00e1vel por opera\u00e7\u00f5es de deploy, configura\u00e7\u00e3o de integra\u00e7\u00e3o e ajustes no banco de dados \u2014 n\u00e3o exige qualquer verifica\u00e7\u00e3o de autentica\u00e7\u00e3o. Isso significa que qualquer requisi\u00e7\u00e3o HTTP manipulada, enviada para a porta de administra\u00e7\u00e3o padr\u00e3o (normalmente 8000 ou 8443), pode acionar essa fun\u00e7\u00e3o sem que o sistema valide quem est\u00e1 fazendo a chamada. O Oracle confirmou que a falha foi introduzida em uma atualiza\u00e7\u00e3o de API interna no PeopleTools 8.59, e se estende por todas as vers\u00f5es subsequentes at\u00e9 o patch de junho de 2026.<\/p>\n

An\u00e1lise T\u00e9cnica Detalhada da CVE-2026-35273<\/h3>\n

Para profissionais de TI que precisam entender a mec\u00e2nica: a fun\u00e7\u00e3o vulner\u00e1vel est\u00e1 mapeada no endpoint \/psp\/admin\/webservice\/<\/code>, que deveria exigir valida\u00e7\u00e3o HMAC baseada em token de sess\u00e3o. Devido a uma falha na implementa\u00e7\u00e3o do filtro de autentica\u00e7\u00e3o no servidor WebLogic subjacente, o PeopleTools exp\u00f5e o m\u00e9todo DeployApplication<\/code> sem a devida verifica\u00e7\u00e3o. Um atacante que envie uma requisi\u00e7\u00e3o POST com payload XML contendo comandos SQL ou scripts de shell \u2014 encapsulados como par\u00e2metros de deployment \u2014 consegue execu\u00e7\u00e3o arbitr\u00e1ria no contexto do servi\u00e7o PeopleTools.<\/p>\n

O que torna a CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> particularmente perigosa \u00e9 a simplicidade do exploit. An\u00e1lises de telemetria do nosso SOC indicam que grupos de ataque est\u00e3o usando scripts em Python que varrem blocos de IP \/24 em busca de portas 8000 abertas. Uma vez identificado um alvo, o exploit envia uma \u00fanica requisi\u00e7\u00e3o HTTP com o cabe\u00e7alho X-Forwarded-For<\/code> manipulado para bypass de listas de acesso mal configuradas. A taxa de sucesso em ambientes sem segmenta\u00e7\u00e3o de rede adequada \u00e9 alarmantemente alta.<\/p>\n

O vetor de ataque n\u00e3o exige intera\u00e7\u00e3o do usu\u00e1rio, n\u00e3o requer autentica\u00e7\u00e3o pr\u00e9via e pode ser executado de qualquer lugar com conectividade de rede com o servidor PeopleTools. A pontua\u00e7\u00e3o CVSS 8.6<\/strong> reflete o impacto completo na confidencialidade, integridade e disponibilidade dos dados. N\u00e3o h\u00e1 privil\u00e9gios necess\u00e1rios, e a complexidade do ataque \u00e9 baixa \u2014 o exploit p\u00fablico j\u00e1 circula em f\u00f3runs fechados desde 10 de junho.<\/p>\n

Produtos e Vers\u00f5es Afetados pela CVE-2026-35273<\/h3>\n
    \n
  • Oracle PeopleSoft Enterprise PeopleTools 8.59<\/strong> \u2014 Todas as vers\u00f5es anteriores ao patch de junho de 2026 (8.59.07 e anteriores)<\/li>\n
  • Oracle PeopleSoft Enterprise PeopleTools 8.60<\/strong> \u2014 Vers\u00f5es 8.60.00 a 8.60.05<\/li>\n
  • Oracle PeopleSoft Enterprise PeopleTools 8.61<\/strong> \u2014 Vers\u00f5es 8.61.00 a 8.61.02<\/li>\n
  • Oracle PeopleSoft Financials & Supply Chain Management<\/strong> \u2014 Todas as vers\u00f5es que utilizam PeopleTools como plataforma base<\/li>\n
  • Oracle PeopleSoft Human Capital Management<\/strong> \u2014 Idem, qualquer inst\u00e2ncia rodando PeopleTools vulner\u00e1vel<\/li>\n
  • Oracle PeopleSoft Campus Solutions<\/strong> \u2014 Institui\u00e7\u00f5es de ensino que usam PeopleTools 8.59+ est\u00e3o expostas<\/li>\n<\/ul>\n

    \u00c9 importante notar que o produto afetado \u00e9 o PeopleTools<\/strong>, e n\u00e3o o aplicativo PeopleSoft em si. Como PeopleTools \u00e9 a camada de infraestrutura que suporta todos os m\u00f3dulos PeopleSoft (Financeiro, RH, Campus, etc.), qualquer organiza\u00e7\u00e3o que tenha PeopleTools instalado \u2014 mesmo que n\u00e3o esteja usando um m\u00f3dulo espec\u00edfico \u2014 est\u00e1 vulner\u00e1vel. Ambientes de desenvolvimento, staging e produ\u00e7\u00e3o s\u00e3o igualmente afetados se estiverem rodando as vers\u00f5es listadas acima.<\/p>\n

    Como o Ataque Funciona \u2014 Cen\u00e1rio de Explora\u00e7\u00e3o<\/h3>\n

    Compreender a sequ\u00eancia do ataque ajuda a dimensionar a urg\u00eancia. O fluxo de explora\u00e7\u00e3o da CVE-2026-35273<\/strong> segue tipicamente estas etapas:<\/p>\n

      \n
    1. Reconhecimento:<\/strong> O atacante utiliza scanners como Shodan ou Masscan para identificar servidores com a porta 8000 (HTTP) ou 8443 (HTTPS) abertas, exibindo banners que indicam “Oracle PeopleSoft” ou “PeopleTools”.<\/li>\n
    2. Teste de Vulnerabilidade:<\/strong> O atacante envia uma requisi\u00e7\u00e3o GET para o endpoint \/psp\/admin\/<\/code>. Se a resposta incluir o cabe\u00e7alho X-PeopleSoft-Version<\/code>, o alvo \u00e9 confirmado como PeopleTools.<\/li>\n
    3. Explora\u00e7\u00e3o:<\/strong> Uma requisi\u00e7\u00e3o POST \u00e9 enviada para \/psp\/admin\/webservice\/DeployApplication<\/code> com um payload XML contendo um comando SQL para criar um usu\u00e1rio administrador falso na tabela PSOPRDEFN<\/code>.<\/li>\n
    4. Persist\u00eancia:<\/strong> Com o novo usu\u00e1rio criado, o atacante faz login leg\u00edtimo no PeopleSoft e estabelece um webshell estendido, permitindo execu\u00e7\u00e3o remota de comandos no sistema operacional subjacente.<\/li>\n
    5. Exfiltra\u00e7\u00e3o:<\/strong> Dados sens\u00edveis s\u00e3o copiados via SCP ou FTP para servidores externos controlados pelo atacante. Em ataques mais sofisticados, observamos a instala\u00e7\u00e3o de ransomware que criptografa tabelas cr\u00edticas.<\/li>\n<\/ol>\n

      O vetor de ataque \u00e9 puramente network<\/strong>, sem necessidade de engenharia social ou intera\u00e7\u00e3o do usu\u00e1rio. Isso significa que firewalls de borda e segmenta\u00e7\u00e3o de rede s\u00e3o as \u00fanicas barreiras entre seu PeopleTools e um comprometimento total.<\/p>\n

      Impacto Real para Empresas \u2014 O que Est\u00e1 em Jogo<\/h3>\n

      As consequ\u00eancias de uma explora\u00e7\u00e3o bem-sucedida da CVE-2026-35273<\/strong> v\u00e3o al\u00e9m da simples perda de dados. Estamos falando de um takeover completo<\/strong> do ambiente PeopleSoft. Na pr\u00e1tica, isso significa:<\/p>\n

        \n
      • \ud83d\udd34 Cr\u00edtico \u2014 Exposi\u00e7\u00e3o de Dados Pessoais:<\/strong> PeopleSoft \u00e9 usado para armazenar CPF, dados banc\u00e1rios, hist\u00f3rico m\u00e9dico e informa\u00e7\u00f5es de folha de pagamento. Isso aciona obriga\u00e7\u00f5es de notifica\u00e7\u00e3o sob a LGPD<\/strong> (artigos 46 e 48), com multas de at\u00e9 2% do faturamento.<\/li>\n
      • \ud83d\udfe0 Alto \u2014 Paralisa\u00e7\u00e3o Operacional:<\/strong> Se o banco de dados PeopleSoft for criptografado ou corrompido, processos cr\u00edticos de RH, finan\u00e7as e payroll param. O tempo m\u00e9dio de recupera\u00e7\u00e3o estimado \u00e9 de 72 horas, sem considerar perda de dados durante o per\u00edodo de ataque.<\/li>\n
      • \ud83d\udfe0 Alto \u2014 Viola\u00e7\u00e3o de Compliance:<\/strong> Ambientes que processam cart\u00f5es de cr\u00e9dito (via integra\u00e7\u00e3o com ERPs) podem violar o PCI-DSS<\/strong> requisito 6.2 (patch management). Institui\u00e7\u00f5es financeiras enfrentam riscos de Sarbanes-Oxley (SOX)<\/strong> e HIPAA<\/strong> no caso de dados de sa\u00fade.<\/li>\n
      • \ud83d\udd34 Cr\u00edtico \u2014 Responsabilidade Legal:<\/strong> Diretores e CIOs podem ser responsabilizados por neglig\u00eancia na aplica\u00e7\u00e3o de patches conhecidos e ativamente explorados. A CISA KEV serve como evid\u00eancia de conhecimento p\u00fablico.<\/li>\n<\/ul>\n

        Na JRT Technology Solutions<\/strong> implementamos varredura cont\u00ednua de CVEs para frotas corporativas, e j\u00e1 identificamos que aproximadamente 35% das instala\u00e7\u00f5es de PeopleTools ainda n\u00e3o aplicaram o patch de junho. Cada dia sem corre\u00e7\u00e3o aumenta exponencialmente o risco de incidente.<\/p>\n

        Como se Proteger \u2014 Passos de Mitiga\u00e7\u00e3o Contra a CVE-2026-35273<\/h3>\n

        A\u00e7\u00f5es imediatas s\u00e3o necess\u00e1rias. Siga este plano de conting\u00eancia na ordem apresentada:<\/p>\n

          \n
        1. Isolamento Imediato de Rede:<\/strong> Se o servidor PeopleTools estiver acess\u00edvel pela internet p\u00fablica ou por redes n\u00e3o confi\u00e1veis, remova-o imediatamente atr\u00e1s de um firewall com ACL restritiva. Permita acesso apenas por IPs de administra\u00e7\u00e3o autorizados via VPN corporativa.<\/li>\n
        2. Aplicar o Patch Oracle CPU Junho 2026:<\/strong> Baixe e instale o patch identificado como 33614462<\/strong> no portal My Oracle Support. O patch corrige a valida\u00e7\u00e3o HMAC no endpoint \/psp\/admin\/webservice\/<\/code>.<\/li>\n
        3. Desabilitar o Endpoint Vulner\u00e1vel Temporariamente:<\/strong> Caso o patch n\u00e3o possa ser aplicado imediatamente, desabilite o servi\u00e7o WebService no PeopleTools via console de administra\u00e7\u00e3o, bloqueando virtualmente o vetor de ataque.<\/li>\n
        4. Revisar Logs de Acesso:<\/strong> Analise logs do WebLogic e do PeopleTools em busca de requisi\u00e7\u00f5es suspeitas para \/psp\/admin\/webservice\/*<\/code> nos \u00faltimos 30 dias. Procure por padr\u00f5es de m\u00faltiplas requisi\u00e7\u00f5es POST de endere\u00e7os IP externos.<\/li>\n
        5. Validar Usu\u00e1rios Administradores:<\/strong> Execute uma query SQL contra a tabela PSOPRDEFN<\/code> para listar todos os usu\u00e1rios com permiss\u00f5es de administrador. Compare com uma baseline de usu\u00e1rios leg\u00edtimos. Remova qualquer conta n\u00e3o autorizada.<\/li>\n
        6. Acionar o Plano de Resposta a Incidentes:<\/strong> Se sinais de explora\u00e7\u00e3o forem encontrados, isole o servidor da rede, colete imagens forenses e notifique a equipe de seguran\u00e7a. Considere acionar seguradoras cibern\u00e9ticas.<\/li>\n
        7. Ativar Monitoramento Cont\u00ednuo:<\/strong> Configure alertas no SIEM para qualquer tentativa de acesso ao endpoint vulner\u00e1vel. Na JRT Technology Solutions<\/strong>, oferecemos MDM corporativo<\/strong> e monitoramento de seguran\u00e7a 24\/7 que j\u00e1 inclui assinatura de detec\u00e7\u00e3o para essa CVE.<\/li>\n<\/ol>\n

          Empresas que terceirizam a gest\u00e3o de infraestrutura podem se beneficiar de servi\u00e7os de gest\u00e3o de vulnerabilidades \u2014 como os que a JRT Technology Solutions<\/strong> oferece \u2014 que automatizam a varredura e aplica\u00e7\u00e3o de patches cr\u00edticos.<\/p>\n

          Verifica\u00e7\u00e3o P\u00f3s-Patch \u2014 Confirmando a Corre\u00e7\u00e3o<\/h3>\n

          Ap\u00f3s aplicar o patch, execute os seguintes passos de verifica\u00e7\u00e3o para garantir que a CVE-2026-35273<\/strong> foi efetivamente mitigada:<\/p>\n