| CVE ID | CVE-2026-35273 |
|---|---|
| 製品 | Oracle / PeopleSoft Enterprise PeopleTools |
| CVSS | 9.8(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 種別 (CWE) | CWE-306 重要機能の認証欠如 |
| 登録/公開日 | 2026/06/12 |
| KEV 期限 | 2026/06/15 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従って緩和策を適用(BOD 26-04 準拠) |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-35273 |
Oracle PeopleSoft Enterprise PeopleTools(8.61・8.62)の Updates Environment Management コンポーネントにおける重要機能の認証欠如。未認証攻撃者が HTTP 経由でシステムを完全に乗っ取れる。ランサムウェアキャンペーンでの悪用が確認されている。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
EC2 上の PeopleSoft を Oracle 提供のパッチで更新
自己管理エンタープライズアプリ。AWS 固有の修正提供はなく利用者側で適用。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
GCE 上の PeopleSoft を Oracle パッチで更新
GCP 固有の修正提供は確認できず。利用者側で適用。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
Azure VM 上の PeopleSoft を Oracle パッチで更新
Azure 固有の修正提供は確認できず。利用者側で適用。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Linux 上の PeopleSoft を Oracle 提供パッチで更新
Oracle 独自製品。ディストリのパッケージ対象外、Oracle 公式アラートに従い適用。
参照リンク
|
Oracle セキュリティアラートに従い修正を適用するのが最優先。Environment Management Hub をインターネットに公開しない、アクセス制御を強化する回避策を併用。修正パッチの具体的番号は Oracle 公式で要確認。