Ihr ERP-System hat keinen Patch. Hacker sind bereits drin.
Ihr ERP-System hat keinen Patch. Hacker sind bereits drin.
Oracle hat gestern eine außerplanmäßige Sicherheitswarnung für CVE-2026-35273 herausgegeben – eine kritische unauthentifizierte Remote-Code-Execution-Schwachstelle in PeopleSoft PeopleTools 8.61 und 8.62. Kein Passwort erforderlich. Ein Angreifer mit HTTP-Zugang zum Environment Management Hub führt beliebigen Code auf Ihrem ERP-Server aus.
ShinyHunters und Cl0p warten nicht auf einen Patch-Release-Termin. Googles Threat Intelligence Group hat bereits über 100 betroffene Organisationen benachrichtigt. 68 % der bestätigten Opfer sind im Hochschulbereich – Universitäten, die PeopleSoft für Studierenden-Daten, Gehaltsabrechnung und HR nutzen. Schadhafter Aktivität wurde zwischen dem 27. Mai und dem 9. Juni dokumentiert. Oracle hat am 11. Juni Mitigationen veröffentlicht, aber kein Patch existiert.
PeopleSoft ist keine Nischen-Software. Es läuft in großen Behörden, Universitäten und Enterprise-Organisationen weltweit – viele davon mit direkter HR- und Finanzintegration.
Implementieren Sie die verfügbaren Oracle-Mitigationen sofort. Blockieren Sie HTTP-Zugang zum Environment Management Hub von außerhalb des internen Netzwerks. Suchen Sie in den Logs nach verdächtigen Zugriffen seit dem 27. Mai. Behandeln Sie Ihre PeopleSoft-Instanz als kompromittiert, bis das Gegenteil bewiesen ist.
