// HEISE ONLINE — CYBERSECURITY
Oracle warnt außer der Reihe vor kritischer PeopleSoft-Codeschmuggel-Lücke
Oracle schließt außerhalb der üblichen Zeitpläne mit einem Update eine kritische Codeschmuggel-Lücke in PeopleSoft.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Eine kritische Sicherheitslücke betrifft Oracles PeopleSoft Enterprise PeopleTools. Angreifer können sie ohne vorherige Anmeldung missbrauchen und am Ende eingeschleusten Schadcode ausführen. Admins sollten die Software zügig aktualisieren.
Ein knapper Blog-Eintrag in Oracles Security-Blog weist auf die Lücke hin. Eine Warnmeldung außerhalb der regulären geplanten Patchdays liefert etwas weiter reichende Einsichten. Demnach betrifft die Sicherheitslücke Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Aus der Risiko-Matrix lässt sich ablesen, dass Angreifer aus dem Netz die Schwachstelle ohne vorherige Authentifizierung mit HTTP-Paketen ausnutzen können (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“).
Wie solche Angriffe aussehen könnten, erörtert Oracle nicht. Sie wurde jedoch von Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Oracle empfiehlt IT-Verantwortlichen dringend, die Maßnahmen zum Ausbessern des Problems mit hoher Priorität anzugehen. Ein Dokument, das die Installationsanleitung und möglicherweise temporäre Gegenmaßnahmen enthält, erfordert einen Login mit Oracle-Konto.
Dass Oracle eine Sicherheitswarnung außerhalb der typischen Quartals-Patchdays namens „Critical Patch Update“ (CPU) und den im Mai neu eingeführten monatlichen „Critical Security Patch Update“ (CSPU) herausgibt, liefert einen Hinweis auf die Dringlichkeit, die der Hersteller sieht. Zwar steht in der Sicherheitsmitteilung nichts darüber, dass die Sicherheitslücke bereits angegriffen würde, jedoch sind Angriffe offenbar leicht auszuführen und der potenzielle Schaden groß. Möglicherweise ist das auch das Ergebnis aus den Erkenntnissen zu den Angriffen auf Sicherheitslücken in Oracles E-Business-Suite im vergangenen Herbst. Dabei hatten Cybergangs sensible Daten von Unternehmen kopiert und diese im Anschluss um Lösegeld erpresst.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.