Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 14.06.2026 · 5 min Lesezeit

CVE-2026-35273: Kritische RCE-Luecke in Oracle PeopleSoft PeopleTools im CISA-KEV-Katalog

CISA hat die fehlende Authentifizierung in Oracle PeopleSoft Enterprise PeopleTools 8.61 und 8.62 am 12. Juni 2026 in den KEV-Katalog aufgenommen. CVSS 3.1 liegt bei 9.8, ausgenutzt wird sie bereits in der Praxis.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Cybersecurity Warnbild zu CVE 2026 35273 mit kritischer Remote Code Execution Lücke in Oracle PeopleSoft PeopleTools und Aufnahme in den CISA KEV Katalog

Warnung: Am 12. Juni 2026 hat die US-Behoerde CISA die Schwachstelle CVE-2026-35273 in Oracle PeopleSoft Enterprise PeopleTools in ihren Known Exploited Vulnerabilities (KEV) Katalog aufgenommen. Es liegen Belege fuer eine aktive Ausnutzung vor. Betroffen sind die unterstuetzten Versionen 8.61 und 8.62, Oracle hat die Luecke als leicht ausnutzbar und ohne Authentifizierung aus der Ferne erreichbar beschrieben.

Das Wichtigste in Kuerse

  1. CVE: CVE-2026-35273
  2. Produkt: Oracle PeopleSoft Enterprise PeopleTools, Komponente Updates Environment Management
  3. Betroffene Versionen: 8.61, 8.62
  4. Schweregrad: Kritisch, CVSS 3.1 Base Score 9.8 (Vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  5. Angriff: Unauthentifiziert ueber HTTP, aus der Ferne, keine Benutzerinteraktion
  6. Auswirkung: Vollstaendige Uebernahme der PeopleSoft-Instanz (RCE)
  7. Status: Out-of-cycle Security Alert von Oracle am 10. Juni 2026, CISA-KEV-Aufnahme am 12. Juni 2026
  8. Update: Oracle-Patch vorhanden, offizielle Anweisung in der Oracle-Security-Alert-PDF verlinkt

Quelle und Veroeffentlichungsstand

Oracle hat am 10. Juni 2026 einen Security Alert ausserhalb des normalen Patch-Zyklus veroeffentlicht. NVD fuehrt den Eintrag mit NVD-Published-Datum 11. Juni 2026. Am 12. Juni 2026 hat CISA den Eintrag in den KEV-Katalog aufgenommen. Den genauen Wortlaut der CISA-Mitteilung findet ihr im offiziellen Alert vom 12. Juni 2026.

Was ist die Schwachstelle?

CVE-2026-35273 ist eine fehlende Authentifizierung fuer eine kritische Funktion (Missing Authentication for Critical Function, CWE-306) in der Komponente Updates Environment Management von PeopleTools. Ein nicht angemeldeter Angreifer, der ueber HTTP Netzwerkzugriff auf einen betroffenen PeopleSoft-Server hat, kann die Schwachstelle nach Oracles Beschreibung leicht ausnutzen. Im Erfolgsfall kann er die PeopleSoft-Instanz vollstaendig uebernehmen (Remote Code Execution, vollstaendige Auswirkung auf Vertraulichkeit, Integritaet und Verfuegbarkeit).

Welche Systeme sind betroffen?

Betroffen sind ausschliesslich Oracle PeopleSoft Enterprise PeopleTools in den unterstuetzten Versionen 8.61 und 8.62. PeopleTools ist die Plattform unterhalb jeder PeopleSoft-Anwendung (HR, Finanzen, Studierendenverwaltung, etc.). Damit ist die Liste der tatsaechlich angreifbaren Ziele in vielen Unternehmen deutlich groesser als nur das zentrale HR-System.

Wie kritisch ist die Schwachstelle?

Kritisch. Der CVSS-3.1-Base-Score liegt bei 9.8, der Vektor (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) beschreibt einen ueber das Netzwerk erreichbaren, unauthentifizierten Angriff ohne Benutzerinteraktion mit vollstaendiger Auswirkung auf alle drei Schutzziele. CISA stuft die Luecke als Known Exploited Vulnerability ein, was die operative Relevanz ueber den CVSS hinaus erhoeht.

Gibt es bereits aktive Angriffe?

Ja, nach CISA-Kriterien liegt ein Nachweis aktiver Ausnutzung vor. Mehrere Fachmedien berichten zudem von Kampagnen, die die Schwachstelle in der Zeit vor dem Oracle-Alert als Zero-Day ausgenutzt haben sollen. Wer eine PeopleSoft-Instanz betreibt, die in den letzten Tagen aus dem Internet erreichbar war, sollte eine kompromittierte Instanz in Erwaegung ziehen und Logs pruefen, bevor der Patch eingespielt wird.

Welche Auswirkungen sind moeglich?

Eine vollstaendige Uebernahme der PeopleSoft-Instanz. In der Praxis bedeutet das: Zugriff auf personenbezogene HR-Daten, moeglicherweise auch Zahlungs- und Gehaltsdaten, Manipulation von Stammdaten, Persistenz auf Anwendungsebene, lateraler Zugriff auf das umliegende Netzwerk und auf Datenbanken.

Gibt es ein Update?

Ja, Oracle hat den Patch zusammen mit dem Security Alert vom 10. Juni 2026 veroeffentlicht. Die genauen Patch-Nummern und Downloads sind in der Oracle-Security-Alert-Seite verlinkt.

Gibt es einen Workaround?

Einen offiziell von Oracle bestaetigten Workaround gibt es nach derzeitigem Stand nicht. Empfohlen wird, betroffene PeopleSoft-Instanzen entweder zu patchen oder, falls das nicht sofort moeglich ist, vom Internet zu isolieren und den HTTP-Zugriff auf das PeopleSoft-Frontend streng zu beschraenken.

Was sollten Administratoren jetzt tun?

  1. Inventarisieren: Sind PeopleSoft-Instanzen mit PeopleTools 8.61 oder 8.62 im Einsatz?
  2. Falls ja: Oracle-Patch aus dem Security Alert vom 10. Juni 2026 zeitnah einspielen, im Notfall ausserhalb der normalen Wartungsfenster.
  3. Bis der Patch ausgerollt ist: HTTP-Zugriff auf den PeopleSoft-Webserver nur fuer bekannte Quellen erlauben, VPN oder Reverse-Proxy mit IP-Beschraenkung davorsetzen.
  4. Logs der letzten zwei Wochen auf ungewoehnliche Zugriffe auf den PeopleSoft-Webserver, unbekannte Wartungs-Jobs und neue Accounts in der PeopleSoft-Update-Umgebung pruefen.
  5. Patch-Prozess fuer die zentralen ERP-Komponenten dokumentieren und nachhalten.

Woran erkenne ich moegliche Angriffe?

  1. HTTP-Anfragen an das PeopleTools-Update-Environment-Management-Interface von ungewoehnlichen Quellen
  2. Unbekannte Update-Pakete oder Konfigurationsaenderungen in der Update-Umgebung
  3. Neue oder geaenderte Accounts mit hohen Berechtigungen in PeopleSoft
  4. Ungewoehnliche Datenbankaktivitaet aus der PeopleSoft-Schicht heraus, die nicht zu den normalen Batch-Laufzeiten passt

Prioritaet nach Umgebung

  1. Produktion mit Internet-Anbindung: P0, sofort patchen oder isolieren
  2. Produktion nur intern erreichbar: P1, innerhalb von 24 Stunden patchen
  3. Test- und Entwicklungssysteme: P2, in der naechsten regulaeren Wartung mit patchen

Empfehlung fuer Unternehmen und Administratoren

Wer PeopleSoft betreibt, sollte die Aufnahme in den CISA-KEV-Katalog als harten Termin verstehen. Auch wenn die eigenen Instanzen nicht direkt durch CISA bindend sind, lohnt es sich, den gleichen Reaktionsstandard anzulegen, den die US-Bundesbehoerden anwenden: Patch innerhalb der von CISA gesetzten Frist, kompromittierte Instanzen sauber isolieren und forensisch untersuchen, bevor sie wieder ins Produktivnetz gehen.

FAQ

Ist PeopleTools 8.60 oder frueher betroffen?

Nach Oracles Beschreibung sind die unterstuetzten Versionen 8.61 und 8.62 betroffen. Aeltere Versionen sind End-of-Life und erhalten keine Patches mehr; sie sollten ausser Betrieb genommen oder zumindest vom Internet isoliert werden.

Ist ein Neustart der Anwendung noetig?

Bei einem PeopleTools-Patch ist in der Regel ein Neustart des Application Servers und des Web Servers erforderlich. Genaue Schritte stehen in der Oracle-Anleitung zum jeweiligen Patch.

Reicht es, den Patch im Testsystem auszurollen?

Nein, der Patch muss in die Produktion. CISA-KEV-Eintraege werden nicht durch Testsysteme adressiert.

Fazit

CVE-2026-35273 ist eine kritische, unauthentifiziert ausnutzbare RCE-Luecke in einer Plattform, die in vielen Mittelstaendlern und Konzernen sensible Personaldaten verarbeitet. CISA-KEV-Aufnahme plus Hinweise auf eine Zero-Day-Ausnutzung machen das Thema zu einem Patch-der-Woche-Fall. Wer PeopleTools 8.61 oder 8.62 betreibt, sollte heute mit dem Patch-Rollout beginnen.

Quellen

  1. CISA: CISA Adds One Known Exploited Vulnerability to Catalog (12. Juni 2026)
  2. NVD: CVE-2026-35273 Detail
  3. Oracle: Security Alert Advisory - CVE-2026-35273 (10. Juni 2026)
  4. Censys: June 12 Advisory: Oracle PeopleSoft PeopleTools
Verwandt

Weiter lesen

Alle Artikel →
GitHub npm v12 blockiert ab Juli 2026 standardmäßig Install Skripte und Git Abhängigkeiten zum Schutz vor Supply Chain Angriffen in JavaScript Projekten
14.06.2026 ·3 min

GitHub npm v12: Install-Skripte und Git-Abhaengigkeiten werden im Juli 2026 standardmaessig blockiert

Im GitHub Changelog vom 9. Juni 2026 kuendigt GitHub fuer npm v12 drei neue Sicherheits-Defaults an: Install-Skripte, Git-Abhaengigkeiten und Remote-URL-Pakete werden per Default blockiert. Admins sollten ihre CI-Pipelines jetzt vorbereiten.
Techniker arbeitet an Bildschirmen in einem Rechenzentrum, Symbolbild für einen kritischen Authentifizierungs-Bypass in einer Fernwartungssoftware.
14.06.2026 ·6 min

SimpleHelp CVE-2026-48558: Kritischer OIDC-Authentifizierungs-Bypass mit CVSS 10.0

Eine kritische Lücke in SimpleHelp erlaubt es Angreifern, sich ohne Passwort als Techniker anzumelden. CVSS 10.0, kein CISA-KEV-Eintrag, Patches existieren. Was Admins jetzt prüfen müssen.
Symbolbild zu einer Linux-Supply-Chain-Attacke auf AUR-Pakete
14.06.2026 ·3 min

Arch AUR: Infostealer in Hunderten Community-Paketen entdeckt

Eine Supply-Chain-Kampagne namens Atomic Arch traf verwaiste Pakete im Arch User Repository. Betroffene Systeme sollten als kompromittiert geprüft werden.