A CISA incluiu uma vulnerabilidade crítica do Oracle PeopleSoft em seu catálogo de falhas exploradas, após confirmar o uso da brecha em ataques reais envolvendo ransomware.
A falha é rastreada como CVE-2026-35273 e afeta o Oracle PeopleSoft Enterprise PeopleTools. O problema permite que invasores remotos executem funções críticas sem credenciais válidas.
Na prática, a ausência de autenticação adequada em operações sensíveis pode levar ao controle completo de sistemas vulneráveis.
O PeopleSoft é usado por organizações para aplicações corporativas, incluindo áreas como recursos humanos, finanças e operações. Por isso, uma invasão bem-sucedida pode expor dados internos sensíveis e abrir caminho para interrupções relevantes no ambiente.
Segundo o alerta, a falha já foi explorada em campanhas de ransomware. Embora os detalhes técnicos públicos ainda sejam limitados, o risco é elevado porque a exploração pode ocorrer remotamente contra instâncias acessíveis pela internet.
A CISA adicionou a CVE-2026-35273 ao catálogo KEV em 12 de junho de 2026. A data limite de correção para órgãos federais civis dos Estados Unidos foi definida para 15 de junho de 2026, refletindo a urgência do caso.
Organizações que usam PeopleSoft devem aplicar imediatamente as correções e mitigações fornecidas pela Oracle. Quando a atualização não for possível, a recomendação é reduzir a exposição dos sistemas afetados e aplicar controles compensatórios.
