Faille zero-day d'Oracle PeopleSoft PeopleTools exploitée par ShinyHunters (CVE-2026-35273)

Le 10 juin 2026, Oracle a publié une alerte de sécurité d'urgence, hors de son calendrier habituel, pour CVE-2026-35273, une faille zero-day critique du composant Environment Management (PSEMHUB) d'Oracle PeopleSoft Enterprise PeopleTools. La faille était déjà exploitée depuis près de deux semaines par le groupe d'extorsion de données ShinyHunters — suivi par Mandiant (Google) sous le nom UNC6240 — pour s'introduire dans plus de 100 organisations et en voler les données.

Ce qui s'est passé

CVE-2026-35273 affiche un score CVSS v3.1 de 9,8 et un vecteur (AV:N/AC:L/PR:N/UI:N) décrivant une faille qu'un attaquant non authentifié peut exploiter à distance sur le réseau sans interaction de l'utilisateur, aboutissant à l'exécution de code à distance. Elle touche PeopleSoft Enterprise PeopleTools 8.61 et 8.62. Comme le bogue réside dans un composant de gestion exposé sur Internet, une seule requête non authentifiée suffisait à donner aux attaquants l'exécution de code sur les serveurs exposés.

Mandiant a indiqué que l'exploitation s'est déroulée du 27 mai 2026 au 9 juin 2026 — avant l'existence de l'avis d'Oracle, ce qui en fait une véritable faille zero-day. Après avoir pris pied, les attaquants ont cartographié les configurations PeopleSoft et la topologie du réseau interne, se sont déplacés latéralement à l'aide d'un script de propagation sur mesure et de pulvérisation d'identifiants SSH, ont déposé des fichiers marqueurs d'extorsion (README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT) et ont exfiltré des données compressées avec zstd. Les jeux de données volés ont commencé à apparaître sur le site de fuite de ShinyHunters le 9 juin.

Impact

Une faille zero-day critique (CVSS 9,8) d'exécution de code à distance sans authentification dans PeopleTools 8.61 et 8.62.
Plus de 100 organisations notifiées par Mandiant, la majorité situées aux États-Unis.
68 % des organisations touchées relevaient de l'enseignement supérieur — universités et établissements qui utilisent PeopleSoft pour leurs systèmes étudiants, RH et financiers.
Vol de données confirmé et publication sur le site de fuite, plutôt qu'un rançongiciel chiffrant les fichiers.
Oracle a diffusé un correctif et exhorté ses clients à l'appliquer immédiatement et à vérifier toute compromission de leurs instances PeopleSoft exposées.

Pourquoi c'est important

PeopleSoft est l'épine dorsale administrative d'une large part des universités et des grandes entreprises du monde, hébergeant dossiers étudiants, paie et données financières — précisément les données personnelles en masse qu'un groupe d'extorsion peut monétiser. Cette campagne illustre une nouvelle fois le basculement de ShinyHunters vers l'exploitation de masse d'une seule faille zero-day de logiciel d'entreprise, faisant écho à ses précédentes vagues de vol de données via Salesforce et SharePoint. La leçon est connue : un composant de gestion exposé sur Internet exécutant un chemin de code non authentifié est une invitation permanente, et le délai entre la première exploitation et l'avis de l'éditeur — ici environ deux semaines — suffit amplement à vider une base de données.

Chronologie

27 mai 2026

Première exploitation observée de CVE-2026-35273 contre des déploiements PeopleSoft exposés sur Internet, selon Mandiant.

9 juin 2026

ShinyHunters publie des données de victimes sur son site de fuite ; l'activité d'exploitation observée se prolonge jusqu'à cette date.

10 juin 2026

Oracle publie une alerte de sécurité hors calendrier et un correctif pour CVE-2026-35273, confirmant que la faille est exploitable à distance sans authentification.

Sources

cloud.google.comhttps://cloud.google.com/blog/topics/threat-intelligence/shinyhunters-targets-education-sector-oracle-exploit

oracle.comhttps://www.oracle.com/security-alerts/alert-cve-2026-35273.html

blogs.oracle.comhttps://blogs.oracle.com/security/security-alert-cve-2026-35273-released

thehackernews.comhttps://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html

theregister.comhttps://www.theregister.com/cyber-crime/2026/06/11/shinyhunters-claims-oracle-peoplesoft-0-day-hit-100-orgs/5254443

github.comhttps://github.com/advisories/GHSA-25mw-359m-f6rj

Incidents liés

Fuite de donnéesRançon payée1 mai 2026

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim: Instructure (Canvas LMS)
Loss: $10.0M
Records: 275.0M

Faille zero-dayEn cours10 juin 2026

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim: Microsoft Defender

Faille zero-dayContenu9 juin 2026

Google corrige une faille zero-day activement exploitée dans le moteur V8 de Chrome (CVE-2026-11645)

Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.

Victim: Google Chrome

Faille zero-dayEn cours5 juin 2026

Faille zero-day de Cisco SD-WAN Manager exploitée (CVE-2026-20245)

Cisco a alerté sur une faille zero-day non corrigée et de haute gravité dans Catalyst SD-WAN Manager (CVE-2026-20245), activement exploitée pour exécuter des commandes arbitraires et obtenir les privilèges root, après que Mandiant a signalé un nombre limité d'attaques réelles.

Victim: Cisco Catalyst SD-WAN Manager