Oracle PeopleSoft CVE-2026-35273: zero-day RCE sfruttato da ShinyHunters per il furto di dati
La CVE-2026-35273 è una vulnerabilità critica in Oracle PeopleSoft Enterprise PeopleTools, la piattaforma su cui girano le applicazioni PeopleSoft. Con CVSS pari a 9.8, è sfruttabile da remoto via HTTP senza autenticazione né interazione dell'utente e consente l'esecuzione di codice arbitrario sui sistemi interessati. Il difetto risiede nel componente Updates Environment Management e, secondo le analisi di settore, si fonda su una server-side request forgery (SSRF) usata come leva per arrivare alla RCE.
La vulnerabilità è stata sfruttata come zero-day prima della pubblicazione dell'advisory: Mandiant e il Google Threat Intelligence Group collocano lo sfruttamento attivo tra il 27 maggio e il 9 giugno 2026 e lo attribuiscono al gruppo UNC6240, noto come ShinyHunters, in una campagna di compromissione, furto dati ed estorsione che ha colpito tra l'altro diverse università. Oracle ha reagito con un alert e una patch out-of-band il 10 giugno 2026, fuori dal consueto ciclo trimestrale, e la CISA ha inserito la CVE nel catalogo KEV. Il CSIRT Italia ha aggiornato il proprio alert il 12 giugno per recepire lo sfruttamento attivo della CVE-2026-35273.
PeopleSoft è diffuso in università, grandi enti e amministrazioni per la gestione di risorse umane, paghe e processi amministrativi: chi espone in rete un'istanza PeopleTools 8.61 o 8.62 è un bersaglio diretto, e la natura della campagna (furto dati ed estorsione) impone di valutare non solo la patch ma anche un'eventuale compromissione già avvenuta.
- Versioni affette: Oracle PeopleSoft Enterprise PeopleTools versioni 8.61 e 8.62.
- Azione raccomandata: applicare immediatamente la patch out-of-band Oracle del 10 giugno 2026; verificare la presenza di indicatori di compromissione e segni di esfiltrazione dati, vista la campagna attiva attribuita a ShinyHunters.