Oracle warnt außer der Reihe vor kritischer PeopleSoft-Codeschmuggel-Lücke

Eine kritische Sicherheitslücke betrifft Oracles PeopleSoft Enterprise PeopleTools. Angreifer können sie ohne vorherige Anmeldung missbrauchen und am Ende eingeschleusten Schadcode ausführen. Admins sollten die Software zügig aktualisieren.

Ein knapper Blog-Eintrag in Oracles Security-Blog weist auf die Lücke hin. Eine Warnmeldung außerhalb der regulären geplanten Patchdays liefert etwas weiter reichende Einsichten. Demnach betrifft die Sicherheitslücke Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Aus der Risiko-Matrix lässt sich ablesen, dass Angreifer aus dem Netz die Schwachstelle ohne vorherige Authentifizierung mit HTTP-Paketen ausnutzen können (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“).

Wie solche Angriffe aussehen könnten, erörtert Oracle nicht. Sie wurde jedoch von Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Oracle empfiehlt IT-Verantwortlichen dringend, die Maßnahmen zum Ausbessern des Problems mit hoher Priorität anzugehen. Ein Dokument, das die Installationsanleitung und möglicherweise temporäre Gegenmaßnahmen enthält, erfordert einen Login mit Oracle-Konto.

IT-Verantwortliche sollten rasch reagieren

Dass Oracle eine Sicherheitswarnung außerhalb der typischen Quartals-Patchdays namens „Critical Patch Update“ (CPU) und den im Mai neu eingeführten monatlichen „Critical Security Patch Update“ (CSPU) herausgibt, liefert einen Hinweis auf die Dringlichkeit, die der Hersteller sieht. Zwar steht in der Sicherheitsmitteilung nichts darüber, dass die Sicherheitslücke bereits angegriffen würde, jedoch sind Angriffe offenbar leicht auszuführen und der potenzielle Schaden groß. Möglicherweise ist das auch das Ergebnis aus den Erkenntnissen zu den Angriffen auf Sicherheitslücken in Oracles E-Business-Suite im vergangenen Herbst. Dabei hatten Cybergangs sensible Daten von Unternehmen kopiert und diese im Anschluss um Lösegeld erpresst.

(dmk)