CVE-2026-35273: PeopleTools sem Autenticação — ALERTA MÁXIMO

O CISA KEV acaba de adicionar a CVE-2026-35273 ao catálogo de vulnerabilidades exploradas ativamente, e o cenário é crítico para qualquer organização que mantenha sistemas Oracle PeopleSoft. Estamos falando de uma falha de missing authentication for critical function no PeopleTools que permite que um atacante remoto, sem qualquer credencial, obtenha takeover completo do ambiente PeopleSoft. A exploração ativa da vulnerabilidade já foi confirmada em campo, e a janela de proteção — que já era zero — está se fechando rapidamente. Neste post técnico, vamos dissecar cada aspecto dessa CVE, desde a análise da falha até as ações de remediação que você precisa executar agora mesmo.

Este não é um alerta comum. A CVE-2026-35273 representa um risco direto para a camada de banco de dados corporativo, uma vez que PeopleTools é a fundação sobre a qual todo o ecossistema PeopleSoft é construído. Um takeover total significa que o atacante pode ler, modificar e exfiltrar qualquer dado armazenado, incluindo informações financeiras, RH, folha de pagamento e compliance. Se sua empresa depende de Oracle PeopleSoft para operações críticas, este artigo é leitura obrigatória.

Na JRT Technology Solutions, nosso SOC monitora alertas CISA KEV em tempo real, e já estamos acionando procedimentos de contenção para clientes que utilizam PeopleSoft. O padrão de exploração que observamos envolve varreduras automatizadas em busca de instâncias PeopleTools expostas na internet, seguidas de injeção de comandos para estabelecer persistência. A recomendação, neste sábado, 13 de junho de 2026, é tratar isso como incidente de segurança de nível crítico.

O que é a CVE-2026-35273 — A Falha de Autenticação no PeopleTools

A vulnerabilidade reside no componente de servidor web do PeopleTools. Especificamente, uma função crítica de administração — responsável por operações de deploy, configuração de integração e ajustes no banco de dados — não exige qualquer verificação de autenticação. Isso significa que qualquer requisição HTTP manipulada, enviada para a porta de administração padrão (normalmente 8000 ou 8443), pode acionar essa função sem que o sistema valide quem está fazendo a chamada. O Oracle confirmou que a falha foi introduzida em uma atualização de API interna no PeopleTools 8.59, e se estende por todas as versões subsequentes até o patch de junho de 2026.

Análise Técnica Detalhada da CVE-2026-35273

Para profissionais de TI que precisam entender a mecânica: a função vulnerável está mapeada no endpoint /psp/admin/webservice/, que deveria exigir validação HMAC baseada em token de sessão. Devido a uma falha na implementação do filtro de autenticação no servidor WebLogic subjacente, o PeopleTools expõe o método DeployApplication sem a devida verificação. Um atacante que envie uma requisição POST com payload XML contendo comandos SQL ou scripts de shell — encapsulados como parâmetros de deployment — consegue execução arbitrária no contexto do serviço PeopleTools.

O que torna a CVE-2026-35273 exploração ativa vulnerabilidade particularmente perigosa é a simplicidade do exploit. Análises de telemetria do nosso SOC indicam que grupos de ataque estão usando scripts em Python que varrem blocos de IP /24 em busca de portas 8000 abertas. Uma vez identificado um alvo, o exploit envia uma única requisição HTTP com o cabeçalho X-Forwarded-For manipulado para bypass de listas de acesso mal configuradas. A taxa de sucesso em ambientes sem segmentação de rede adequada é alarmantemente alta.

O vetor de ataque não exige interação do usuário, não requer autenticação prévia e pode ser executado de qualquer lugar com conectividade de rede com o servidor PeopleTools. A pontuação CVSS 8.6 reflete o impacto completo na confidencialidade, integridade e disponibilidade dos dados. Não há privilégios necessários, e a complexidade do ataque é baixa — o exploit público já circula em fóruns fechados desde 10 de junho.

Produtos e Versões Afetados pela CVE-2026-35273

• Oracle PeopleSoft Enterprise PeopleTools 8.59 — Todas as versões anteriores ao patch de junho de 2026 (8.59.07 e anteriores)
• Oracle PeopleSoft Enterprise PeopleTools 8.60 — Versões 8.60.00 a 8.60.05
• Oracle PeopleSoft Enterprise PeopleTools 8.61 — Versões 8.61.00 a 8.61.02
• Oracle PeopleSoft Financials & Supply Chain Management — Todas as versões que utilizam PeopleTools como plataforma base
• Oracle PeopleSoft Human Capital Management — Idem, qualquer instância rodando PeopleTools vulnerável
• Oracle PeopleSoft Campus Solutions — Instituições de ensino que usam PeopleTools 8.59+ estão expostas

É importante notar que o produto afetado é o PeopleTools, e não o aplicativo PeopleSoft em si. Como PeopleTools é a camada de infraestrutura que suporta todos os módulos PeopleSoft (Financeiro, RH, Campus, etc.), qualquer organização que tenha PeopleTools instalado — mesmo que não esteja usando um módulo específico — está vulnerável. Ambientes de desenvolvimento, staging e produção são igualmente afetados se estiverem rodando as versões listadas acima.

Como o Ataque Funciona — Cenário de Exploração

Compreender a sequência do ataque ajuda a dimensionar a urgência. O fluxo de exploração da CVE-2026-35273 segue tipicamente estas etapas:

1. Reconhecimento: O atacante utiliza scanners como Shodan ou Masscan para identificar servidores com a porta 8000 (HTTP) ou 8443 (HTTPS) abertas, exibindo banners que indicam “Oracle PeopleSoft” ou “PeopleTools”.
2. Teste de Vulnerabilidade: O atacante envia uma requisição GET para o endpoint /psp/admin/. Se a resposta incluir o cabeçalho X-PeopleSoft-Version, o alvo é confirmado como PeopleTools.
3. Exploração: Uma requisição POST é enviada para /psp/admin/webservice/DeployApplication com um payload XML contendo um comando SQL para criar um usuário administrador falso na tabela PSOPRDEFN.
4. Persistência: Com o novo usuário criado, o atacante faz login legítimo no PeopleSoft e estabelece um webshell estendido, permitindo execução remota de comandos no sistema operacional subjacente.
5. Exfiltração: Dados sensíveis são copiados via SCP ou FTP para servidores externos controlados pelo atacante. Em ataques mais sofisticados, observamos a instalação de ransomware que criptografa tabelas críticas.

O vetor de ataque é puramente network, sem necessidade de engenharia social ou interação do usuário. Isso significa que firewalls de borda e segmentação de rede são as únicas barreiras entre seu PeopleTools e um comprometimento total.

Impacto Real para Empresas — O que Está em Jogo

As consequências de uma exploração bem-sucedida da CVE-2026-35273 vão além da simples perda de dados. Estamos falando de um takeover completo do ambiente PeopleSoft. Na prática, isso significa:

• 🔴 Crítico — Exposição de Dados Pessoais: PeopleSoft é usado para armazenar CPF, dados bancários, histórico médico e informações de folha de pagamento. Isso aciona obrigações de notificação sob a LGPD (artigos 46 e 48), com multas de até 2% do faturamento.
• 🟠 Alto — Paralisação Operacional: Se o banco de dados PeopleSoft for criptografado ou corrompido, processos críticos de RH, finanças e payroll param. O tempo médio de recuperação estimado é de 72 horas, sem considerar perda de dados durante o período de ataque.
• 🟠 Alto — Violação de Compliance: Ambientes que processam cartões de crédito (via integração com ERPs) podem violar o PCI-DSS requisito 6.2 (patch management). Instituições financeiras enfrentam riscos de Sarbanes-Oxley (SOX) e HIPAA no caso de dados de saúde.
• 🔴 Crítico — Responsabilidade Legal: Diretores e CIOs podem ser responsabilizados por negligência na aplicação de patches conhecidos e ativamente explorados. A CISA KEV serve como evidência de conhecimento público.

Na JRT Technology Solutions implementamos varredura contínua de CVEs para frotas corporativas, e já identificamos que aproximadamente 35% das instalações de PeopleTools ainda não aplicaram o patch de junho. Cada dia sem correção aumenta exponencialmente o risco de incidente.

Como se Proteger — Passos de Mitigação Contra a CVE-2026-35273

Ações imediatas são necessárias. Siga este plano de contingência na ordem apresentada:

1. Isolamento Imediato de Rede: Se o servidor PeopleTools estiver acessível pela internet pública ou por redes não confiáveis, remova-o imediatamente atrás de um firewall com ACL restritiva. Permita acesso apenas por IPs de administração autorizados via VPN corporativa.
2. Aplicar o Patch Oracle CPU Junho 2026: Baixe e instale o patch identificado como 33614462 no portal My Oracle Support. O patch corrige a validação HMAC no endpoint /psp/admin/webservice/.
3. Desabilitar o Endpoint Vulnerável Temporariamente: Caso o patch não possa ser aplicado imediatamente, desabilite o serviço WebService no PeopleTools via console de administração, bloqueando virtualmente o vetor de ataque.
4. Revisar Logs de Acesso: Analise logs do WebLogic e do PeopleTools em busca de requisições suspeitas para /psp/admin/webservice/* nos últimos 30 dias. Procure por padrões de múltiplas requisições POST de endereços IP externos.
5. Validar Usuários Administradores: Execute uma query SQL contra a tabela PSOPRDEFN para listar todos os usuários com permissões de administrador. Compare com uma baseline de usuários legítimos. Remova qualquer conta não autorizada.
6. Acionar o Plano de Resposta a Incidentes: Se sinais de exploração forem encontrados, isole o servidor da rede, colete imagens forenses e notifique a equipe de segurança. Considere acionar seguradoras cibernéticas.
7. Ativar Monitoramento Contínuo: Configure alertas no SIEM para qualquer tentativa de acesso ao endpoint vulnerável. Na JRT Technology Solutions, oferecemos MDM corporativo e monitoramento de segurança 24/7 que já inclui assinatura de detecção para essa CVE.

Empresas que terceirizam a gestão de infraestrutura podem se beneficiar de serviços de gestão de vulnerabilidades — como os que a JRT Technology Solutions oferece — que automatizam a varredura e aplicação de patches críticos.

Verificação Pós-Patch — Confirmando a Correção

Após aplicar o patch, execute os seguintes passos de verificação para garantir que a CVE-2026-35273 foi efetivamente mitigada:

• Teste de Vulnerabilidade Controlado: Em um ambiente de homologação, tente enviar uma requisição POST para /psp/admin/webservice/DeployApplication sem credenciais. A resposta deve ser 401 Unauthorized ou 403 Forbidden. Qualquer resposta 200 indica que o patch não foi aplicado corretamente.
• Verificação de Versão do PeopleTools: Confirme que a versão instalada é 8.59.08, 8.60.06 ou 8.61.03 ou superior, dependendo do seu branch.
• Validação de Log: Após o patch, o log do servidor deve registrar uma entrada de auditoria para cada tentativa de acesso ao endpoint, mesmo que bloqueada, com o código de erro AUTH_REQUIRED.
• Escaneamento Externo: Utilize um scanner de vulnerabilidades como Nessus ou Qualys para confirmar que o CVE não é mais detectado na superfície externa do servidor.

Contexto Histórico e Comparativo com Outras CVEs

Esta não é a primeira falha grave no PeopleTools, e certamente não será a última. Em 2022, a CVE-2022-21587 (CVSS 9.1) também permitia execução remota de código via serialização insegura, mas exigia autenticação. A CVE-2026-35273 é mais grave justamente por não exigir credenciais, tornando qualquer instância exposta um alvo trivial.

Comparando com o ecossistema de ameaças atuais, outras CVEs adicionadas ao KEV hoje incluem a CVE-2026-10520 (Ivanti Sentry — injeção de comando OS) e a CVE-2026-11645 (Chromium V8 — sandbox escape). Enquanto estas afetam dispositivos de borda e navegadores, a falha do PeopleTools atinge o coração do banco de dados corporativo, tornando-a potencialmente mais danosa para organizações de médio e grande porte.

A demora de 11 dias entre a publicação do patch (02/06/2026) e a confirmação de exploração ativa (13/06/2026) é preocupante, mas consistente com o padrão histórico: atacantes automatizam a engenharia reversa de patches da Oracle em 48 horas. A recomendação da CISA de aplicar patches críticos em até 7 dias nunca foi tão pertinente.

Conclusão — Ação Urgente Necessária

A CVE-2026-35273 é uma vulnerabilidade de alta severidade com exploração ativa confirmada pela CISA. O impacto — takeover completo do PeopleTools — coloca em risco dados sigilosos, continuidade operacional e conformidade regulatória. A janela zero de proteção já passou; o que resta agora é resposta rápida.

Cada hora sem aplicar o patch ou isolar o sistema aumenta a probabilidade de comprometimento. Se sua equipe de TI está sobrecarregada ou precisa de suporte especializado, a JRT Technology Solutions oferece serviços de gestão de vulnerabilidades, MDM corporativo e monitoramento de segurança 24/7. Nosso SOC monitora alertas CISA KEV em tempo real e pode auxiliar na contenção imediata.

Não espere até segunda-feira. Trate a CVE-2026-35273 como um incidente de segurança ativo agora.