ShinyHunters Exploite un Zero-Day Oracle PeopleSoft pour Violer 100+ Organisations — 500K Dossiers Universitaires Exposés

Une vulnérabilité zero-day critique dans Oracle PeopleSoft Enterprise PeopleTools est activement exploitée, et le groupe cybercriminel ShinyHunters a revendiqué la compromission de plus de 100 organisations à l'aide de cette faille — les universités représentant une part disproportionnée des victimes confirmées. Oracle a émis aujourd'hui une alerte de sécurité d'urgence pour CVE-2026-35273.

La faille a un score CVSS 3.1 de 9,8 — exécution de code à distance non authentifiée avec un vecteur d'attaque accessible par le réseau. Un attaquant sans identifiants préalables peut atteindre un serveur PeopleSoft vulnérable via Internet et exécuter des commandes OS arbitraires.

Université de Nottingham

L'Université de Nottingham a confirmé avoir subi un incident cybernétique. ShinyHunters affirme avoir exfiltré des dizaines de gigaoctets de données incluant des informations personnelles et académiques concernant près d'un demi-million d'étudiants actuels et anciens.

Ce Qu'il Faut Faire Maintenant

Si votre organisation exécute Oracle PeopleSoft PeopleTools 8.61 ou 8.62 : appliquez immédiatement les mesures d'atténuation d'urgence d'Oracle ; auditez les indicateurs de compromission avant de patcher ; restreignez l'accès réseau aux serveurs PeopleSoft.