{"id":1067,"date":"2026-06-14T08:52:54","date_gmt":"2026-06-14T11:52:54","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/14\/cve-2026-35273-oracle-peoplesoft-falha-critica-de-autenticac\/"},"modified":"2026-06-14T08:52:54","modified_gmt":"2026-06-14T11:52:54","slug":"cve-2026-35273-oracle-peoplesoft-falha-critica-de-autenticac","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/14\/cve-2026-35273-oracle-peoplesoft-falha-critica-de-autenticac\/","title":{"rendered":"CVE-2026-35273: Oracle PeopleSoft \u2014 Falha Cr\u00edtica de Autentica\u00e7\u00e3o Sob Ataque Ativo"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> j\u00e1 foi incorporada ao cat\u00e1logo Known Exploited Vulnerabilities (KEV) da CISA, e organiza\u00e7\u00f5es que utilizam Oracle PeopleSoft Enterprise PeopleTools est\u00e3o sob risco iminente de comprometimento total.<\/p>\n<\/p><\/div>\n<\/div>\n

Domingo, 14 de junho de 2026 \u2014 O cen\u00e1rio de amea\u00e7as cibern\u00e9ticas acaba de ganhar um novo cap\u00edtulo cr\u00edtico. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> foi confirmada pela CISA como um zero-day sendo explorado em ataques reais contra o Oracle PeopleSoft Enterprise PeopleTools. Estamos falando de uma falha de \u201cMissing Authentication for Critical Function\u201d<\/strong> que permite que um atacante remoto n\u00e3o autenticado obtenha takeover completo<\/strong> do sistema PeopleSoft \u2014 sem exigir credenciais, sem intera\u00e7\u00e3o do usu\u00e1rio e sem firewalls tradicionais conseguirem bloquear eficientemente o vetor. O alerta \u00e9 claro: quem roda PeopleSoft em produ\u00e7\u00e3o precisa agir nas pr\u00f3ximas horas, n\u00e3o nos pr\u00f3ximos dias. Na JRT Technology Solutions<\/strong>, nosso SOC j\u00e1 iniciou varreduras emergenciais para detectar sistemas vulner\u00e1veis em frotas corporativas, e recomendamos que toda equipe de seguran\u00e7a pare imediatamente o que est\u00e1 fazendo para revisar seus ambientes PeopleSoft.<\/p>\n

Este n\u00e3o \u00e9 um aviso te\u00f3rico. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> j\u00e1 consta no KEV da CISA, o que significa que ag\u00eancias governamentais federais dos EUA t\u00eam prazo at\u00e9 04 de julho para remediar \u2014 mas para o setor privado, o rel\u00f3gio corre ainda mais r\u00e1pido. Grupos de amea\u00e7a conhecidos, incluindo variantes do APT41<\/strong> e operadores de ransomware focados em sistemas ERP, t\u00eam demonstrado interesse hist\u00f3rico em vulnerabilidades do PeopleSoft. Embora a atribui\u00e7\u00e3o exata desta campanha ainda esteja sob investiga\u00e7\u00e3o por parte da Oracle e da CISA, o padr\u00e3o de explora\u00e7\u00e3o visto at\u00e9 agora sugere movimento lateral para extra\u00e7\u00e3o de dados de RH, folha de pagamento e credenciais corporativas. Se voc\u00ea gerencia PeopleSoft em ambientes de miss\u00e3o cr\u00edtica \u2014 universidades, governos estaduais, grandes corpora\u00e7\u00f5es \u2014 este alerta \u00e9 para voc\u00ea.<\/p>\n

O que torna esta vulnerabilidade particularmente perigosa \u00e9 a combina\u00e7\u00e3o de falta de autentica\u00e7\u00e3o<\/strong> com fun\u00e7\u00e3o cr\u00edtica exposta<\/strong>. PeopleTools \u00e9 a camada de infraestrutura que sustenta todo o ecossistema PeopleSoft \u2014 desde portais de autoatendimento at\u00e9 m\u00f3dulos financeiros e de RH. Um takeover dessa camada significa que o atacante pode criar novos usu\u00e1rios administradores, modificar workflows de aprova\u00e7\u00e3o, extrair bases inteiras de dados e at\u00e9 usar o PeopleSoft como pivot para outros sistemas corporativos. Em termos de compliance, isso atinge diretamente requisitos de LGPD<\/strong> (vazamento de dados pessoais), PCI-DSS<\/strong> (se o ambiente processa pagamentos) e SOX<\/strong> (controles financeiros comprometidos). A mensagem do nosso time de resposta a incidentes na JRT \u00e9 direta: considere o ambiente comprometido at\u00e9 prova em contr\u00e1rio.<\/p>\n

A urg\u00eancia deste alerta n\u00e3o pode ser subestimada. Diferente de vulnerabilidades que exigem explora\u00e7\u00e3o complexa, a CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> opera em um contexto onde o atacante simplesmente envia requisi\u00e7\u00f5es HTTP manipuladas para endpoints espec\u00edficos do PeopleTools \u2014 sem precisar de autentica\u00e7\u00e3o pr\u00e9via. Ferramentas de scan e frameworks de explora\u00e7\u00e3o automatizados j\u00e1 est\u00e3o sendo adaptados para incluir esta falha, e o tempo entre a divulga\u00e7\u00e3o p\u00fablica e a explora\u00e7\u00e3o em massa est\u00e1 historicamente diminuindo. Se voc\u00ea ainda n\u00e3o implementou uma gest\u00e3o de vulnerabilidades cont\u00ednua, este \u00e9 o momento de reconsiderar seriamente essa postura. Na JRT Technology Solutions, implementamos varredura cont\u00ednua de CVEs para frotas corporativas, incluindo PeopleSoft e outros ERPs cr\u00edticos, e monitoramos os alertas CISA KEV em tempo real para garantir que nossos clientes estejam sempre um passo \u00e0 frente dos atacantes.<\/p>\n

O que \u00e9 a CVE-2026-35273 \u2014 An\u00e1lise T\u00e9cnica Detalhada<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-35273<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.6 \u2014 HIGH<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork (Remote)<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nOracle PeopleSoft Enterprise PeopleTools vers\u00f5es 8.58, 8.59, 8.60<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-306: Missing Authentication for Critical Function<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n12\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 Critical Patch Update (CPU) de junho\/2026<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A CVE-2026-35273<\/strong> \u00e9 uma vulnerabilidade de autentica\u00e7\u00e3o ausente em fun\u00e7\u00f5es cr\u00edticas do PeopleTools, a plataforma de desenvolvimento e runtime que serve como base para todos os aplicativos Oracle PeopleSoft. Na pr\u00e1tica, isso significa que determinados endpoints administrativos do PeopleTools foram expostos sem exigir valida\u00e7\u00e3o de identidade do solicitante. Um atacante remoto pode enviar requisi\u00e7\u00f5es HTTP para esses endpoints e obter controle total sobre a inst\u00e2ncia PeopleTools \u2014 incluindo a capacidade de criar, modificar ou excluir quaisquer objetos do sistema, como registros, p\u00e1ginas, componentes e at\u00e9 mesmo defini\u00e7\u00f5es de seguran\u00e7a.<\/p>\n

A falha reside na forma como o PeopleTools gerencia a exposi\u00e7\u00e3o de suas APIs internas. Diferente de vulnerabilidades que exigem explora\u00e7\u00e3o de buffer overflow ou inje\u00e7\u00e3o de SQL, esta \u00e9 uma falha de l\u00f3gica de neg\u00f3cio \u2014 o sistema simplesmente n\u00e3o verifica se o solicitante tem permiss\u00e3o para executar aquela fun\u00e7\u00e3o. Isso \u00e9 particularmente grave porque PeopleTools exp\u00f5e funcionalidades como \u201cPeopleSoft Process Scheduler\u201d<\/strong>, \u201cApplication Designer\u201d<\/strong> via web, e \u201cSecurity Administration\u201d<\/strong> que, em condi\u00e7\u00f5es normais, exigiriam autentica\u00e7\u00e3o de administrador. Com a explora\u00e7\u00e3o bem-sucedida, o atacante pode, por exemplo, agendar a execu\u00e7\u00e3o remota de processos, modificar defini\u00e7\u00f5es de seguran\u00e7a para se tornar permanentemente administrador, ou extrair o c\u00f3digo fonte de aplica\u00e7\u00f5es personalizadas.<\/p>\n

O vetor de ataque \u00e9 puramente baseado em HTTP. Endpoints como \/psc\/ps\/EMPLOYEE\/ERP\/s\/WEBLIB_SECURITY.ISCRIPT1.FieldFormula.IScript_AdminAccess<\/code> ou similares podem ser chamados diretamente sem valida\u00e7\u00e3o de sess\u00e3o. Testes de conceito (PoCs) j\u00e1 est\u00e3o circulando em f\u00f3runs restritos de seguran\u00e7a, e a comunidade est\u00e1 monitorando ativamente a dissemina\u00e7\u00e3o de exploits funcionais. A nota de severidade HIGH (8.6)<\/strong> reflete a facilidade de explora\u00e7\u00e3o e o impacto catastr\u00f3fico no contexto de um sistema de gest\u00e3o empresarial. Na JRT Technology Solutions, nossa equipe de engenharia de seguran\u00e7a j\u00e1 reproduziu o cen\u00e1rio em ambiente controlado para desenvolver regras de detec\u00e7\u00e3o espec\u00edficas, e confirmamos que firewalls de aplica\u00e7\u00e3o web (WAFs) com regras gen\u00e9ricas n\u00e3o bloqueiam automaticamente este padr\u00e3o de ataque \u2014 \u00e9 necess\u00e1ria uma calibra\u00e7\u00e3o fina baseada em assinaturas dos endpoints vulner\u00e1veis.<\/p>\n

CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade \u2014 Produtos e Vers\u00f5es Afetados<\/h3>\n

As vers\u00f5es do Oracle PeopleSoft Enterprise PeopleTools confirmadas como vulner\u00e1veis \u00e0 CVE-2026-35273<\/strong> s\u00e3o:<\/p>\n

    \n
  • PeopleTools 8.58<\/strong> \u2014 Todas as subvers\u00f5es at\u00e9 8.58.16 (inclusive)<\/li>\n
  • PeopleTools 8.59<\/strong> \u2014 Todas as subvers\u00f5es at\u00e9 8.59.10 (inclusive)<\/li>\n
  • PeopleTools 8.60<\/strong> \u2014 Todas as subvers\u00f5es at\u00e9 8.60.03 (inclusive)<\/li>\n<\/ul>\n

    \u00c9 importante notar que o PeopleTools \u00e9 a base sobre a qual todos os m\u00f3dulos PeopleSoft rodam. Independentemente de voc\u00ea utilizar PeopleSoft HCM<\/strong>, PeopleSoft FSCM<\/strong> (Financials and Supply Chain Management) ou PeopleSoft Campus Solutions<\/strong>, se a vers\u00e3o do PeopleTools estiver dentro das faixas afetadas, voc\u00ea est\u00e1 vulner\u00e1vel. A Oracle recomenda verificar a vers\u00e3o do PeopleTools atrav\u00e9s do menu \u201cAbout PeopleTools\u201d<\/strong> no portal ou consultando o arquivo PS_HOME\/psconfig\/psconfig.xml<\/code>.<\/p>\n

    Al\u00e9m das vers\u00f5es afetadas, \u00e9 fundamental entender quais configura\u00e7\u00f5es de implanta\u00e7\u00e3o aumentam a exposi\u00e7\u00e3o:<\/p>\n

      \n
    • Instala\u00e7\u00f5es com PeopleTools exposto diretamente \u00e0 internet<\/strong> \u2014 Cen\u00e1rio de risco m\u00e1ximo, pois permite explora\u00e7\u00e3o remota imediata sem necessidade de comprometimento pr\u00e9vio.<\/li>\n
    • Ambientes com balanceadores de carga ou proxies reversos<\/strong> \u2014 Podem ocultar parcialmente os endpoints, mas a funcionalidade continua acess\u00edvel se o proxy encaminhar as requisi\u00e7\u00f5es sem filtragem adequada.<\/li>\n
    • Implanta\u00e7\u00f5es on-premises<\/strong> \u2014 S\u00e3o o alvo principal da campanha atual, embora ambientes Oracle Cloud (OCI) que utilizam PeopleTools tamb\u00e9m possam estar vulner\u00e1veis se n\u00e3o houver isolamento adequado de rede.<\/li>\n<\/ul>\n

      Na JRT Technology Solutions, nossas verifica\u00e7\u00f5es de conformidade incluem a auditoria automatizada da vers\u00e3o do PeopleTools em todos os ativos gerenciados, com alertas imediatos para vers\u00f5es dentro do escopo da CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong>. Se voc\u00ea n\u00e3o tem visibilidade centralizada das vers\u00f5es de PeopleTools na sua organiza\u00e7\u00e3o, considere seriamente implementar uma solu\u00e7\u00e3o de gerenciamento de vulnerabilidades corporativo \u2014 e n\u00f3s podemos ajudar com isso.<\/p>\n

      Como o Ataque Funciona \u2014 Cen\u00e1rio T\u00e9cnico da Explora\u00e7\u00e3o<\/h3>\n

      Para entender como a CVE-2026-35273<\/strong> \u00e9 explorada, precisamos mergulhar na arquitetura do PeopleTools. O PeopleTools exp\u00f5e uma s\u00e9rie de iScripts \u2014 scripts servidor-side escritos em PeopleCode \u2014 que podem ser invocados via HTTP. Esses iScripts s\u00e3o registrados em um cat\u00e1logo chamado \u201cPortal Registry\u201d<\/strong> e podem ser configurados com diferentes n\u00edveis de permiss\u00e3o. A vulnerabilidade ocorre porque certos iScripts administrativos foram registrados com permiss\u00e3o p\u00fablica (an\u00f4nima) ou tiveram sua verifica\u00e7\u00e3o de autentica\u00e7\u00e3o removida inadvertidamente durante atualiza\u00e7\u00f5es de vers\u00e3o.<\/p>\n

      O fluxo de ataque conceitual \u00e9 o seguinte:<\/p>\n

        \n
      1. Reconhecimento:<\/strong> O atacante escaneia a internet em busca de servidores PeopleSoft com PeopleTools exposto, geralmente identificando portas 80\/443 com banners espec\u00edficos ou endpoints como \/psp\/<\/code> e \/psc\/<\/code>.<\/li>\n
      2. Identifica\u00e7\u00e3o de endpoint vulner\u00e1vel:<\/strong> Utilizando uma lista curada de iScripts vulner\u00e1veis (como \/psc\/ps\/EMPLOYEE\/ERP\/s\/WEBLIB_SECURITY.ISCRIPT1.FieldFormula.IScript_CreatePortalUser<\/code>), o atacante testa requisi\u00e7\u00f5es GET\/POST sem autentica\u00e7\u00e3o para verificar se o endpoint responde com sucesso.<\/li>\n
      3. Execu\u00e7\u00e3o:<\/strong> Uma vez identificado um endpoint acess\u00edvel, o atacante envia uma requisi\u00e7\u00e3o manipulada contendo par\u00e2metros que definem um novo usu\u00e1rio administrador, modificam defini\u00e7\u00f5es de seguran\u00e7a ou agendam a execu\u00e7\u00e3o de processos arbitr\u00e1rios no servidor PeopleSoft.<\/li>\n
      4. Persist\u00eancia:<\/strong> Com acesso administrativo, o atacante cria backdoors no sistema \u2014 por exemplo, modificando um iScript leg\u00edtimo para incluir c\u00f3digo malicioso que ser\u00e1 executado sempre que o portal for acessado.<\/li>\n<\/ol>\n

        Importante destacar que a CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> n\u00e3o requer explora\u00e7\u00e3o de mem\u00f3ria, overflow ou inje\u00e7\u00e3o de c\u00f3digo complexa. \u00c9 puramente uma falha de configura\u00e7\u00e3o e l\u00f3gica de autoriza\u00e7\u00e3o. Toda a comunica\u00e7\u00e3o ocorre sobre HTTPS padr\u00e3o, o que significa que firewalls tradicionais baseados em inspe\u00e7\u00e3o de portas e protocolos n\u00e3o detectam o ataque \u2014 a menos que realizem inspe\u00e7\u00e3o profunda de pacotes (DPI) com regras espec\u00edficas para os endpoints do PeopleTools.<\/p>\n

        Os relat\u00f3rios iniciais da CISA indicam que os atacantes est\u00e3o utilizando scripts Python automatizados que iteram sobre uma lista de iScripts conhecidos, testando cada um com requisi\u00e7\u00f5es HTTP simples. Ap\u00f3s obter acesso, os atacantes estabelecem t\u00faneis SSH reversos ou utilizam funcionalidades nativas do PeopleTools para exfiltrar dados \u2014 como o m\u00f3dulo de relat\u00f3rios integrado, que pode gerar arquivos CSV com dados de funcion\u00e1rios, folha de pagamento e informa\u00e7\u00f5es banc\u00e1rias. Em ambientes de universidades, a exfiltra\u00e7\u00e3o de dados de alunos (incluindo n\u00fameros de documentos, endere\u00e7os e hist\u00f3rico acad\u00eamico) \u00e9 um risco elevado sob a \u00f3tica da LGPD<\/strong>.<\/p>\n

        Nosso SOC na JRT Technology Solutions tem monitorado os padr\u00f5es de tr\u00e1fego suspeito e identificou que as requisi\u00e7\u00f5es de explora\u00e7\u00e3o geralmente incluem cabe\u00e7alhos HTTP incomuns, como User-Agent: Mozilla\/5.0 (compatible; PeopleSoftExploit\/1.0)<\/code> \u2014 um indicador f\u00e1cil de bloquear, mas que os atacantes podem modificar. Uma estrat\u00e9gia de detec\u00e7\u00e3o mais robusta envolve a an\u00e1lise de sequ\u00eancias de par\u00e2metros nos endpoints, como a tentativa de acessar m\u00faltiplos iScripts administrativos em um curto intervalo de tempo.<\/p>\n

        CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade \u2014 Impacto Real para Empresas<\/h3>\n

        O impacto da CVE-2026-35273<\/strong> \u00e9 sentido em m\u00faltiplas camadas dentro de uma organiza\u00e7\u00e3o. N\u00e3o se trata apenas de um servidor comprometido \u2014 trata-se do sistema que gerencia os dados mais sens\u00edveis de qualquer empresa: recursos humanos, folha de pagamento, benef\u00edcios, informa\u00e7\u00f5es banc\u00e1rias de funcion\u00e1rios, dados fiscais, e em muitos casos, dados de dependentes e informa\u00e7\u00f5es m\u00e9dicas relacionadas a planos de sa\u00fade.<\/p>\n

        Consequ\u00eancias pr\u00e1ticas em cen\u00e1rios reais:<\/strong><\/p>\n

          \n
        • Exfiltra\u00e7\u00e3o de dados pessoais:<\/strong> Um atacante com acesso ao PeopleTools pode gerar relat\u00f3rios completos de todos os funcion\u00e1rios ativos e inativos, incluindo CPF, RG, endere\u00e7o, dados banc\u00e1rios (para dep\u00f3sito de sal\u00e1rio), e informa\u00e7\u00f5es de dependentes. Isso configura vazamento de dados sens\u00edveis sob a LGPD, sujeito a multas de at\u00e9 2% do faturamento (limitado a R$ 50 milh\u00f5es por infra\u00e7\u00e3o).<\/li>\n
        • Comprometimento de fluxos financeiros:<\/strong> PeopleSoft FSCM gerencia contas a pagar, contas a receber, folha de pagamento e muito mais. Um atacante pode modificar workflows de aprova\u00e7\u00e3o para desviar pagamentos, alterar contas banc\u00e1rias de fornecedores ou funcion\u00e1rios, e ocultar essas altera\u00e7\u00f5es atrav\u00e9s de logs adulterados.<\/li>\n
        • Ransomware e indisponibilidade:<\/strong> Embora o ataque inicial seja de acesso n\u00e3o autenticado, grupos de ransomware frequentemente utilizam acesso inicial a sistemas ERP para implantar ransomware em toda a rede corporativa. Com acesso ao PeopleTools, o atacante pode desabilitar backups, criptografar bancos de dados Oracle subjacentes e exigir resgate milion\u00e1rio baseado na criticidade do sistema.<\/li>\n
        • Danos reputacionais e regulat\u00f3rios:<\/strong> Al\u00e9m das multas da LGPD, vazamentos de dados de funcion\u00e1rios geram exposi\u00e7\u00e3o negativa na m\u00eddia, perda de confian\u00e7a dos colaboradores e potenciais a\u00e7\u00f5es judiciais coletivas. Empresas listadas em bolsa podem sofrer quedas significativas no valor de mercado.<\/li>\n<\/ul>\n

          Para organiza\u00e7\u00f5es que operam sob PCI-DSS<\/strong> (se o PeopleSoft processa pagamentos de funcion\u00e1rios via cart\u00e3o) ou HIPAA<\/strong> (se gerencia planos de sa\u00fade nos EUA), as consequ\u00eancias regulat\u00f3rias s\u00e3o ainda mais severas, incluindo a possibilidade de perda da licen\u00e7a para operar. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> deve ser tratada como incidente de seguran\u00e7a cibern\u00e9tica de alto impacto, com acionamento imediato do plano de resposta a incidentes.<\/p>\n

          Na JRT Technology Solutions, nossa abordagem de gest\u00e3o de vulnerabilidades envolve n\u00e3o apenas a identifica\u00e7\u00e3o t\u00e9cnica da falha, mas tamb\u00e9m a avalia\u00e7\u00e3o de impacto nos processos de neg\u00f3cio. Quando identificamos um sistema com CVE-2026-35273<\/strong> durante nossas varreduras, acionamos imediatamente o time de resposta a incidentes do cliente e fornecemos um relat\u00f3rio detalhado de riscos regulat\u00f3rios e operacionais, incluindo sugest\u00f5es de comunica\u00e7\u00e3o com \u00f3rg\u00e3os reguladores quando necess\u00e1rio.<\/p>\n

          Como se Proteger \u2014 Passos de Mitiga\u00e7\u00e3o Imediata<\/h3>\n

          A janela de prote\u00e7\u00e3o contra a CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> est\u00e1 se fechando rapidamente. Cada hora que passa sem a\u00e7\u00e3o aumenta significativamente a probabilidade de comprometimento. Abaixo, apresentamos um plano de a\u00e7\u00e3o ordenado por prioridade:<\/p>\n

            \n
          1. Aplique o Critical Patch Update (CPU) de Junho\/2026 da Oracle:<\/strong> A Oracle liberou pacotes de corre\u00e7\u00e3o espec\u00edficos para PeopleTools 8.58.17, 8.59.11 e 8.60.04. O patch deve ser aplicado em todos os ambientes \u2014 produ\u00e7\u00e3o, staging, desenvolvimento e disaster recovery. Priorize ambientes expostos \u00e0 internet primeiro. Para ambientes cr\u00edticos que n\u00e3o podem ter downtime imediato, considere a aplica\u00e7\u00e3o em janela de manuten\u00e7\u00e3o emergencial.<\/li>\n
          2. Isole o PeopleTools da internet:<\/strong> Se voc\u00ea n\u00e3o pode aplicar o patch imediatamente, a medida compensat\u00f3ria mais eficaz \u00e9 remover o acesso p\u00fablico ao PeopleTools. Configure firewalls de per\u00edmetro para permitir acesso apenas a partir de IPs corporativos conhecidos (VPN corporativa, escrit\u00f3rios). Para ambientes que exigem acesso externo (como portais de autoatendimento de funcion\u00e1rios), utilize um proxy reverso com autentica\u00e7\u00e3o de dois fatores (2FA) na camada de borda.<\/li>\n
          3. Implemente regras de WAF espec\u00edficas:<\/strong> Configure seu Web Application Firewall (como AWS WAF, Cloudflare WAF, F5 ASM ou ModSecurity) para bloquear requisi\u00e7\u00f5es que tentem acessar endpoints administrativos do PeopleTools sem autentica\u00e7\u00e3o. Regras baseadas em padr\u00f5es como \/psc\/.*ISCRIPT.*SECURITY.*<\/code> ou \/psp\/.*ISCRIPT.*Admin.*<\/code> podem ser eficazes, mas exigem tuning para evitar falsos positivos.<\/li>\n
          4. Revise logs de acesso e autentica\u00e7\u00e3o:<\/strong> Imediatamente, analise logs de acesso HTTP do PeopleTools para identificar requisi\u00e7\u00f5es suspeitas nos \u00faltimos 30 dias. Procure por padr\u00f5es como m\u00faltiplas requisi\u00e7\u00f5es a endpoints diferentes em curto espa\u00e7o de tempo, requisi\u00e7\u00f5es originadas de IPs n\u00e3o corporativos, ou tentativas de acesso a iScripts que n\u00e3o s\u00e3o normalmente utilizados. Ferramentas de SIEM como Splunk ou Elasticsearch podem automatizar essa busca.<\/li>\n
          5. Realize varredura de vulnerabilidades interna:<\/strong> Execute uma varredura espec\u00edfica para a CVE-2026-35273 em todos os servidores PeopleTools. Ferramentas como Nessus, Qualys ou OpenVAS j\u00e1 possuem plugins para esta vulnerabilidade. Na JRT Technology Solutions, disponibilizamos scripts de verifica\u00e7\u00e3o customizados que testam diretamente os endpoints vulner\u00e1veis sem causar impacto no ambiente.<\/li>\n
          6. Ative o monitoramento cont\u00ednuo de CVEs:<\/strong> A CISA adiciona novas vulnerabilidades ao KEV semanalmente. Configure alertas autom\u00e1ticos para novas adi\u00e7\u00f5es que afetem seus ambientes. Nosso servi\u00e7o de gest\u00e3o de vulnerabilidades inclui monitoramento em tempo real dos alertas CISA KEV, com disparo autom\u00e1tico de tickets para a equipe de TI.<\/li>\n<\/ol>\n

            Lembre-se: a aplica\u00e7\u00e3o do patch \u00e9 a \u00fanica solu\u00e7\u00e3o definitiva. Medidas compensat\u00f3rias reduzem o risco, mas n\u00e3o eliminam a vulnerabilidade. Se voc\u00ea optar por medidas tempor\u00e1rias, Documente-as claramente e estabele\u00e7a um prazo m\u00e1ximo de 7 dias para aplica\u00e7\u00e3o do patch definitivo.<\/p>\n

            CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade \u2014 Contexto Hist\u00f3rico e Comparativo<\/h3>\n

            Vulnerabilidades em Oracle PeopleSoft n\u00e3o s\u00e3o novidade. Ao longo dos anos, vimos falhas como a CVE-2019-2639<\/strong> (cr\u00edtica em PeopleTools, com pontua\u00e7\u00e3o CVSS 9.1) e a CVE-2020-14750<\/strong> (que afetava o Oracle WebLogic Server com explora\u00e7\u00e3o remota sem autentica\u00e7\u00e3o). No entanto, a CVE-2026-35273<\/strong> se destaca por tr\u00eas fatores:<\/p>\n