Oracle は 6 月 10 日、PeopleSoft Enterprise PeopleTools の未認証リモートコード実行脆弱性 CVE-2026-35273 (CVSS 9.8) に対して out-of-band の緊急パッチを公開しました。Google Cloud の Mandiant によると、Oracle 公表前の 5 月 27 日から 6 月 9 日にかけて ShinyHunters がゼロデイ攻撃を展開し、100 組織超を侵害。被害の約 7 割は米国を中心とする高等教育機関で、Nottingham 大学などの流出データがリークサイトに掲示されているといいます。
主なポイント
- 影響範囲は PeopleTools 8.61 / 8.62 (それ以前の未サポート版も対象)。脆弱性は Updates Environment Management コンポーネントに存在
- 攻撃ベクトルは HTTP 経由・認証不要・ユーザー操作不要で、攻撃難易度も低い
- Mandiant は脆弱な公開エンドポイント 300 件超を持つ約 100 組織に個別通知。一部はブロックに成功したが、多数は侵入とデータ窃取を許した
- Oracle は即時パッチ適用と、PeopleSoft 環境への外部アクセス制限・不審通信の監視強化を緊急推奨