CVE-2026-35273: Oracle-PeopleSoft-Zero-Day von ShinyHunters ausgenutzt

Was ist passiert?

Die Erpressergruppe ShinyHunters hat einen Zero-Day in Oracle PeopleSoft Enterprise PeopleTools (CVE-2026-35273) ausgenutzt, um in Unternehmenssysteme einzudringen, Daten zu stehlen und Lösegeld zu fordern. Google/Mandiant bestätigt die Ausnutzung in freier Wildbahn. Die Lücke erlaubt einem unauthentifizierten Angreifer über HTTP Zugriff auf eine kritische Funktion (Missing Authentication) und damit faktisch Remote-Code-Execution. Oracle hat eine Mitigation veröffentlicht; CISA führt die CVE im KEV-Katalog.

Betroffen sind laut Oracle die PeopleTools-Versionen 8.61 und 8.62.

Warum ist das relevant?

• CVSS 9.8 bei sehr hohem EPSS (~90 %) - seltene Kombination, breite Ausnutzung erwartbar
• PeopleSoft hält HR-, Finanz- und Studierendendaten - DSGVO-relevante Massendaten
• Aktive Erpressungskampagne, Universitäten am stärksten betroffen
• Unauthentifizierter Netzwerk-Vektor - kein Phishing, kein User-Klick nötig

Priorisierungssignale

Empfehlung

Internet-erreichbare PeopleSoft-Instanzen mit Priorität patchen/mitigieren und gezielt nach Datenabfluss suchen - die Gruppe agiert datendiebstahl-getrieben.