Autorité Nationale de Cybersécurité
13-06-2026
BULLETIN D'ALERTES
| Object | Vulnérabilité Critique dans Oracle PeopleSoft |
|---|---|
| Réference | 1483 |
| Date de Publication | 2026-06-13 |
| Sévérité | Critique |
IMPACT :
• Exécution de code à distance (RCE) sans authentification
• Vol massif de données personnelles et sensibles (exfiltration)
• Mouvement latéral interne via SSH
SYSTÉME AFFECTÉ :
• Oracle PeopleSoft Enterprise PeopleTools versions 8.61 et 8.62
• Clients PeopleSoft Enterprise Applications (reposant sur PeopleTools)
• Composant Environment Management (Environment Management Hub - PSEMHUB)
DÉSCRIPTION :
Une vulnérabilité critique a été découverte dans le composant Environment
Management d'Oracle PeopleSoft PeopleTools, identifiée sous le nom CVE-2026-35273 (score CVSS :9.8).
Cette faille permet à un attaquant non authentifié d'exécuter du code à distance (RCE) via HTTP,sans aucune interaction utilisateur, en ciblant les endpoints de l'Environment Management Hub (PSEMHUB) exposés sur Internet.
NB: L'exploitation active de cette vulnérabilité a été observée.
SOLUTION :
Appliquer immédiatement les mesures de mitigation et le correctif Oracle pour CVE-2026-35273.
CONTOURNEMENT PROVISOIRE :
• Restreindre l'exposition Internet des endpoints Environment Management Hub
(PSEMHUB).
• Décommissionner ou isoler les versions non supportées qui ne reçoivent pas de correctif.
DOCUMENTATION :
• CVE-2026-35273 (Oracle Security Alert) :
https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
• CVE-2026-35273 (NVD / CVE Record) :
https://www.cve.org/CVERecord?id=CVE-2026-35273
• Analyse Mandiant / Google Threat Intelligence Group :
https://cloud.google.com/blog/topics/threat-intelligence