CVE-2026-35273 : 0-day PeopleSoft CVSS 9.8, ShinyHunters sevit

Les faits

Le 10 juin 2026, Oracle publiait un advisory de sécurité hors-cycle pour CVE-2026-35273, une vulnérabilité d'exécution de code à distance sans authentification (CVSS v3.1 : 9.8) dans Oracle PeopleSoft Enterprise PeopleTools. Ce patch d'urgence intervenait après que Google Threat Intelligence Group (GTIG) et Mandiant eurent notifié Oracle d'une exploitation active à grande échelle menée par le groupe cybercriminel ShinyHunters, identifié par Mandiant sous le cluster UNC6240. L'activité malveillante avait été observée dès le 27 mai 2026, soit deux semaines avant la publication du correctif — faisant de CVE-2026-35273 un véritable 0-day exploité dans la nature pendant cette période.

La vulnérabilité réside dans le composant Environment Management Hub (PSEMHUB) de PeopleSoft PeopleTools, un service interne conçu pour gérer les déploiements et mises à jour des environnements PeopleSoft. Techniquement, la faille est classée CWE-918 (Server-Side Request Forgery), mais les analyses de Rapid7 et TrendAI indiquent qu'elle peut être chaînée pour aboutir à une exécution de code arbitraire sur le serveur sous-jacent. Un attaquant capable d'atteindre le service HTTP de PeopleSoft peut déclencher la vulnérabilité sans fournir le moindre identifiant, avec une complexité d'attaque faible (CVSS AC:L). Les versions affectées sont PeopleTools 8.61 et 8.62.

La campagne ShinyHunters documentée par Mandiant (UNC6240) a ciblé plus de 100 organisations à travers le monde entre le 27 mai et le 9 juin 2026. La répartition sectorielle est particulièrement frappante : 68 % des victimes appartiennent au secteur de l'enseignement supérieur, avec des universités et grandes écoles sur plusieurs continents. PeopleSoft est massivement déployé dans les institutions académiques pour la gestion des ressources humaines, des finances et des dossiers étudiants — des bases de données contenant des informations personnelles et financières extrêmement sensibles. Les attaques visaient à l'exfiltration de données, correspondant au modus operandi historique de ShinyHunters.

Google Threat Intelligence Group a identifié les adresses IP de potentielles victimes et notifié plus de 100 organisations à risque. Cette notification a précipité la publication de l'advisory Oracle hors-cycle, Oracle ayant initialement prévu d'intégrer ce correctif dans son Critical Patch Update (CPU) trimestriel d'octobre 2026. Selon SecurityAffairs et The Hacker News, la pression exercée par GTIG et la gravité des exploitations in-the-wild ont contraint Oracle à publier un patch d'urgence le 10 juin 2026.

Sur le plan technique, l'exploitation de CVE-2026-35273 cible spécifiquement le service PSEMHUB, qui est souvent exposé sur des ports non standards et dont la gestion des accès est parfois moins rigoureuse que le portail principal PeopleSoft. Les logs d'attaque analysés par Arctic Wolf et Rapid7 montrent des requêtes HTTP anormales vers les endpoints /PSEMHUB/ avec des payloads SSRF forgés ciblant des ressources internes. La chaîne d'exploitation complète permet d'exfiltrer des tokens d'authentification, d'accéder aux bases de données PeopleSoft, et dans certains cas d'exécuter des commandes sur le système d'exploitation hôte.

La nature de la faille SSRF menant à RCE dans un composant de gestion d'environnement soulève une question plus large sur la dette technique des solutions ERP héritées. PeopleSoft, acquis par Oracle en 2005 et déployé depuis les années 1990, souffre de défauts d'architecture courants dans les systèmes legacy : exposition de services internes, validation insuffisante des entrées, et absence de cloisonnement entre les composants d'administration et de production.

L'attribution à ShinyHunters est appuyée par des TTPs cohérents avec les précédentes campagnes du groupe : exploitation de services web exposés, exfiltration rapide de bases de données et tentatives d'extorsion. ShinyHunters est un collectif cybercriminel à motivation financière dont plusieurs membres ont fait l'objet d'arrestations dans le cadre d'opérations internationales en 2024, sans pour autant interrompre les activités du groupe. Leur ciblage des universités en 2026 correspond à une tendance observée : les institutions académiques disposent souvent d'une surface d'attaque étendue, de ressources de sécurité limitées, et de données à forte valeur marchande incluant données de recherche et propriété intellectuelle.

CVE-2026-35273 met en lumière le risque systémique lié aux solutions ERP héritées exposées sur internet. PeopleSoft est en cours de migration vers Oracle Cloud HCM dans de nombreuses organisations, mais des milliers d'instances on-premise restent déployées avec une visibilité de sécurité réduite et des cycles de patch plus lents que les environnements cloud. L'advisory d'urgence Oracle du 10 juin 2026 est à traiter comme priorité absolue pour tout responsable IT dont l'organisation opère PeopleSoft PeopleTools 8.61 ou 8.62.

Impact et exposition

CVE-2026-35273 affecte toutes les organisations opérant Oracle PeopleSoft PeopleTools versions 8.61 ou 8.62 avec le service EMHub accessible depuis internet ou depuis un réseau insuffisamment segmenté. Le secteur de l'enseignement supérieur est surreprésenté parmi les victimes (68 %), mais les organisations des secteurs public, santé et finance utilisant PeopleSoft sont également exposées. Oracle PeopleSoft est déployé dans plusieurs milliers d'organisations à travers le monde, dont de nombreuses agences gouvernementales, hôpitaux et grandes universités.

L'exploitation sans authentification (pre-auth RCE) signifie que tout attaquant capable d'atteindre le service HTTP de PeopleSoft peut déclencher la vulnérabilité sans disposer d'aucun credential préalable. La faible complexité d'attaque (AC:L) signifie qu'aucune condition particulière n'est requise hormis la connectivité réseau. Cela rend CVE-2026-35273 particulièrement dangereuse pour toute configuration où l'interface PeopleSoft est exposée directement sur internet sans reverse proxy ou WAF.

Les données potentiellement exfiltrées incluent les dossiers RH (données personnelles employés, salaires, contrats), les données financières, les dossiers étudiants et les credentials d'accès aux systèmes intégrés. Pour les organisations françaises, une telle exfiltration constitue une violation du RGPD avec obligation de notification à la CNIL dans les 72 heures suivant la découverte (article 33 du règlement), sous peine de sanctions pouvant atteindre 4 % du chiffre d'affaires mondial.

Recommandations immédiates

• Appliquer immédiatement le patch Oracle PeopleSoft PeopleTools publié en urgence le 10 juin 2026 — Oracle Security Alert CVE-2026-35273 (canaux Oracle Support sous contrat)
• Isoler immédiatement le service PSEMHUB du réseau public en attendant le patch — ce composant n'a aucune raison d'être exposé sur internet
• Revoir les règles firewall et WAF pour bloquer les accès externes directs aux endpoints /PSEMHUB/ et /psc/EMHUB/
• Auditer les logs d'accès EMHub depuis le 27 mai 2026 pour détecter des accès anormaux : requêtes SSRF, tentatives sans credentials, volumes sortants inhabituels
• Indicateurs de compromission : requêtes HTTP anormales vers /PSEMHUB/ depuis des IP externes, processus système inattendus lancés par le compte de service PeopleSoft
• Si compromission suspectée : notifier la CNIL (France) dans les 72 h conformément au RGPD