A agência de cibersegurança dos Estados Unidos (CISA) adicionou no dia 12 de junho de 2026 a falha CVE-2026-35273, que afeta o Oracle PeopleSoft Enterprise PeopleTools, ao seu catálogo de vulnerabilidades conhecidas em exploração ativa (KEV). A vulnerabilidade de severidade crítica (CVSS 9.8) permite execução remota de código sem autenticação e foi explorada como zero-day pelo grupo criminoso ShinyHunters entre maio e junho de 2026, atingindo mais de 100 organizações, em sua maioria universidades.
Catálogo KEV exige correção imediata
A inclusão no Known Exploited Vulnerabilities (KEV) catalog significa que a CISA confirmou exploração ativa na natureza e impôs um prazo vinculativo: agências federais norte-americanas têm até 30 de junho de 2026 para aplicar o corretivo ou remediação equivalente. Embora a diretiva vincule formalmente apenas órgãos do governo federal, a medida sinaliza a organizações privadas que a janela de risco é real e imediata.
O catálogo KEV lista falhas confirmadamente usadas por atacantes e serve como referência global para priorização de patches. A adição de CVE-2026-35273 ocorreu apenas dois dias após a Oracle publicar um alerta de segurança fora de banda em 10 de junho, liberando o patch simultaneamente.
| Versão PeopleTools | Afetada | CVSS | Tipo de falha |
|---|---|---|---|
| 8.61 | Sim | 9.8 | SSRF sem autenticação |
| 8.62 | Sim | 9.8 | SSRF sem autenticação |
| Anteriores a 8.61 | Provavelmente | 9.8 | Sem patch disponível |
Como funciona a vulnerabilidade
CVE-2026-35273 é classificada como uma vulnerabilidade de Server-Side Request Forgery (SSRF) no componente Environment Management (Updates Environment Management) do PeopleTools. A falha decorre da ausência de autenticação em funções críticas — um atacante remoto não autenticado pode enviar requisições manipuladas para endpoints do PeopleSoft Environment Management Hub (PSEMHUB).
Ao explorar a falha, o atacante consegue forjar requisições internas que escapam aos controles de acesso e, em última instância, executar código arbitrário no servidor. O caminho URI /PSIGW/HttpListeningConnector, que aparece nos indicadores de comprometimento divulgados por Rapid7, já havia sido explorado em vulnerabilidades anteriores do Integration Gateway, incluindo CVE-2013-3821 e CVE-2017-3548.
O grupo ShinyHunters encadeou a falha zero-day com técnicas adicionais: extraindo credenciais do arquivo psappsrv.cfg, mapeando nós conectados e usando um script denominado uon_fanout.sh para espalhar marcadores de desfiguração pela infraestrutura PeopleSoft.
ShinyHunters rouba dados de universidades
A campanha foi atribuída pela Mandiant (Google Cloud) ao grupo UNC6240, identificado como ShinyHunters — um coletivo criminoso financeiramente motivado, conhecido por roubo de dados e extorsão contra serviços em nuvem e plataformas SaaS. Entre 27 de maio e 9 de junho de 2026, o grupo notificou e comprometeu mais de 100 organizações, sendo 68% universidades e faculdades.
A University of Nottingham confirmou ter sofrido um incidente de segurança, no qual dados de aproximadamente 500 mil estudantes atuais e ex-alunos foram exfiltrados. O ShinyHunters publicou dezenas de gigabytes de dados roubados em seu site de vazamento (Data Leak Site) em 9 de junho, incluindo registros pessoais e acadêmicos.
O caso já havia sido coberto em reportagem anterior sobre a exploração ativa do PeopleSoft em centenas de instâncias, e a evolução pode ser comparada a outros zero-days adicionados ao KEV em 2026.
Cronologia do ataque zero-day
- 27 de maio de 2026: ShinyHunters inicia exploração ativa do CVE-2026-35273 como zero-day, antes de qualquer patch ou alerta.
- 9 de junho de 2026: Dados roubados de mais de 20 organizações são publicados no site de vazamento do ShinyHunters.
- 10 de junho de 2026: Oracle publica alerta de segurança fora de banda e libera o patch corretivo.
- 11 de junho de 2026: Mandiant confirma a atribuição ao grupo UNC6240 (ShinyHunters) e notifica mais de 100 organizações afetadas.
- 12 de junho de 2026: CISA adiciona CVE-2026-35273 ao catálogo KEV, estabelecendo prazo de remediação.
O que fazer para se proteger
As versões afetadas são PeopleTools 8.61 e 8.62. Versões anteriores sem suporte provavelmente também são vulneráveis. As ações prioritárias são:
- Aplicar o patch imediatamente: acesse o Patch Availability Document no alerta oficial da Oracle com conta de suporte ativa.
- Restringir acesso ao PSEMHUB: limite os endpoints de Environment Management Hub a IPs internos confiáveis via firewall ou WAF, bloqueando acesso externo direto.
- Inspecionar logs do Integration Gateway: busque requisições suspeitas aos caminhos
/PSIGW/HttpListeningConnectore endpoints PSEMHUB entre 27 de maio e a data do patch. - Verificar vazamento de credenciais: confirme se o arquivo
psappsrv.cfgfoi acessado e rotacione todas as credenciais de aplicação expostas. - Atualizar para versão suportada: se a versão instalada for anterior a 8.61 e estiver fora do suporte, planeje upgrade urgente — Oracle não testa nem corrige versões sem suporte.