Eine kritische Sicherheitslücke betrifft Oracles PeopleSoft Enterprise PeopleTools. Angreifer können sie ohne vorherige Anmeldung missbrauchen und am Ende eingeschleusten Schadcode ausführen. Admins sollten die Software zügig aktualisieren.
Ein knapper Blog-Eintrag in Oracles Security-Blog weist auf die Lücke hin. Eine Warnmeldung außerhalb der regulären geplanten Patchdays liefert etwas weiter reichende Einsichten. Demnach betrifft die Sicherheitslücke Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Aus der Risiko-Matrix lässt sich ablesen, dass Angreifer aus dem Netz die Schwachstelle ohne vorherige Authentifizierung mit HTTP-Paketen ausnutzen können (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“).
Wie solche Angriffe aussehen könnten, erörtert Oracle nicht. Sie wurde jedoch von Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Oracle empfiehlt IT-Verantwortlichen dringend, die Maßnahmen zum Ausbessern des Problems mit hoher Priorität anzugehen. Ein Dokument, das die Installationsanleitung und möglicherweise temporäre Gegenmaßnahmen enthält, erfordert einen Login mit Oracle-Konto.
Dass Oracle eine Sicherheitswarnung außerhalb der typischen Quartals-Patchdays namens „Critical Patch Update“ (CPU) und den im Mai neu eingeführten monatlichen „Critical Security Patch Update“ (CSPU) herausgibt, liefert einen Hinweis auf die Dringlichkeit, die der Hersteller sieht. Zwar steht in der Sicherheitsmitteilung nichts darüber, dass die Sicherheitslücke bereits angegriffen würde, jedoch sind Angriffe offenbar leicht auszuführen und der potenzielle Schaden groß. Möglicherweise ist das auch das Ergebnis aus den Erkenntnissen zu den Angriffen auf Sicherheitslücken in Oracles E-Business-Suite im vergangenen Herbst. Dabei hatten Cybergangs sensible Daten von Unternehmen kopiert und diese im Anschluss um Lösegeld erpresst.
(dmk)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。