Oracle PeopleSoft: brecha activamente explotada, CISA advierte

6 min. de lectura

Una vulnerabilidad crítica en Oracle PeopleSoft se explotó activamente entre finales de mayo y principios de junio para lanzar ataques de ransomware, y la agencia cibernética estadounidense CISA ha reaccionado. El 12 de junio de 2026, CISA incluyó la vulnerabilidad CVE-2026-35273 en su catálogo de vulnerabilidades conocidas explotadas, confirmando así su uso por parte de actores de ransomware. Investigadores de seguridad de Mandiant atribuyen los ataques al grupo ShinyHunters, que, entre el 27 de mayo y el 9 de junio, habría afectado principalmente al sector universitario; Rapid7 también observó la explotación en varios de sus clientes. Quienes operen PeopleSoft deben verificar el estado de sus parches ahora, y no esperar a la próxima ventana de mantenimiento.

Lo más importante en resumen

Explotada activamente: Según CISA, CVE-2026-35273 en Oracle PeopleSoft Enterprise PeopleTools se está utilizando en campañas de ransomware, con una puntuación CVSS de 9,8.
No requiere inicio de sesión: Según los avisos, la vulnerabilidad permite la ejecución de código sin autenticación. Un atacante no necesita credenciales válidas.
Agencias con plazo límite: CISA obligó a las agencias federales estadounidenses, a través de la directiva BOD 26-04, a aplicar la corrección antes del 15 de junio. Para los operadores en la región DACH, esto supone una clara señal para revisar inmediatamente sus propios entornos.

Relacionado:Priorización de parches: por qué el CVSS por sí solo satura al SOC / Cuando el servidor de copias de seguridad se convierte en una vulnerabilidad

Por qué esta vulnerabilidad es tan peligrosa

CVE-2026-35273 afecta a Oracle PeopleSoft Enterprise PeopleTools y, según informes coincidentes, impacta a las versiones 8.61 y 8.62. La clasificación técnica apunta a una falta de autenticación en una función crítica que, en la práctica, se traduce en una cadena no autenticada de Server-Side Request Forgery hasta la ejecución de código. La puntuación CVSS de 9,8 sitúa esta vulnerabilidad en el extremo superior de la escala.

El punto clave reside en la palabra «no autenticado». Un atacante no necesita poseer credenciales robadas ni superar ninguna barrera de inicio de sesión. Basta con una instancia de PeopleSoft accesible y sin parchear. Dado que PeopleSoft gestiona datos de personal, financieros y de estudiantes en numerosas organizaciones, el posible impacto es considerable.

La cadena técnica explica por qué la vulnerabilidad resulta tan efectiva. Server-Side Request Forgery obliga al servidor vulnerable a realizar peticiones a destinos que el propio atacante no puede alcanzar, como servicios internos protegidos por el cortafuegos. Combinada con la falta de autenticación, esto se convierte en un vector de ataque que permite, desde el exterior, ejecutar código propio directamente en el servidor. Esta concatenación de fallos individuales en una ruta de ataque continua transforma una simple omisión de autenticación en una ejecución remota de código.

Quién atacó y a quién ha afectado hasta ahora

Mandiant atribuye la explotación observada a la organización ShinyHunters, internamente identificada como UNC6240. Según los investigadores, el período de ataque se extendió entre el 27 de mayo y el 9 de junio de 2026, es decir, antes de que un parche estuviera ampliamente disponible. Esto convierte la vulnerabilidad en un verdadero zero-day: explotada antes de que los defensores pudieran reaccionar.

En un principio, el sector universitario fue el objetivo principal. Las universidades suelen utilizar PeopleSoft para la administración y el manejo de estudiantes, lo que las convierte en objetivos atractivos. Los ataques terminaron en ransomware, es decir, en cifrado y extorsión. Lo que comenzó en universidades puede aplicarse a cualquier organización con una instancia expuesta de PeopleSoft.

La vulnerabilidad en números

CVSS 9,8 clasificación crítica, ejecución de código no autenticada.
12. Junio Inclusión en el catálogo de CISA de vulnerabilidades conocidas y explotadas.
15. Junio Plazo de aplicación del parcheo establecido por CISA para las autoridades federales estadounidenses.

Por qué la fecha límite de CISA también es relevante para DACH

La fecha límite obligatoria para las autoridades federales estadounidenses finalizó el 15 de junio, regulada por la directiva de CISA BOD 26-04. No obstante, la entrada en el catálogo es relevante para todos. Es la confirmación oficial de que la vulnerabilidad ha sido explotada activamente. Un riesgo teórico se ha convertido en un ataque comprobado. Con esto cambia la evaluación del riesgo: un sistema sin parchear ahora se considera un objetivo probable, no un riesgo residual potencial.

Para los operadores alemanes, también hay aspectos regulatorios. Quienes estén sujetos a NIS2 deben demostrar gestión de vulnerabilidades y capacidad de respuesta. Dejar una vulnerabilidad pública y activamente explotada sin parchear sería difícil de justificar en caso de emergencia. Por tanto, el catálogo de CISA también es una útil ayuda para priorizar el propio manejo de parches fuera de Estados Unidos.

Qué deben hacer los operadores ahora

El primer paso es realizar un inventario: ¿Se ejecuta PeopleSoft Enterprise PeopleTools en algún lugar y ¿está la instancia accesible desde la red? El segundo paso es instalar el actualización de seguridad proporcionada por Oracle, con prioridad sobre los ciclos normales de mantenimiento. Donde no sea posible aplicar el parcheo inmediatamente, ayuda limitar la accesibilidad de la aplicación y colocar el acceso detrás de controles adicionales.

El tercer paso es asumir que podría haber ya ocurrido. Dado que la explotación ha tenido lugar desde finales de mayo, cada instancia expuesta debe someterse a una revisión de compromiso antes de solo aplicar el parcheo. Un actualización ciega podría sobrescribir pruebas, sin eliminar a un atacante ya establecido. Cómo priorizar debilidades más allá del valor CVSS se aborda en el análisis sobre priorización de parches en el SOC.

Concretamente, la revisión de compromiso implica: revisar los registros del servidor web y de la aplicación en busca de solicitudes inusuales a componentes de PeopleSoft, controlar cuentas nuevas y permisos modificados, examinar conexiones salientes a destinos desconocidos y buscar shells web abandonadas. Quien encuentre indicios trata el caso como incidente y no como actualización rutinaria, incluyendo una recuperación limpia desde copias de seguridad verificadas. Una estrategia de respaldo y contingencia preparada decide entonces el tiempo de inactividad.

Preguntas frecuentes

¿Cuáles sistemas están afectados por CVE-2026-35273?

Oracle PeopleSoft Enterprise PeopleTools, según informes coincidentes, las versiones 8.61 y 8.62. Para conocer el estado propio, siempre es decisivo el aviso oficial de Oracle.

¿Por qué esta vulnerabilidad es especialmente crítica?

Porque, según los avisos, puede explotarse sin autenticación y lleva a la ejecución de código. El valor CVSS de 9,8 refleja esto. Una instancia accesible y sin parchear basta para un ataque.

¿Quién está detrás de los ataques?

Mandiant atribuye la observada explotación de la grupo ShinyHunters a la categoría interna UNC6240. El periodo de ataque se extendió entre el 27 de mayo y el 9 de junio de 2026, inicialmente contra el sector universitario.

¿Es válida también en Alemania la fecha límite de CISA?

Formalmente, la fecha límite solo aplica a las autoridades federales estadounidenses. Sin embargo, el registro en el catálogo es una confirmación oficial de la explotación activa y, por tanto, también una ayuda clara para priorizar para los operadores DACH, especialmente bajo NIS2.

¿Basta con parchear?

El parcheo es obligatorio, pero no es suficiente ante una vulnerabilidad que ha sido explotada desde finales de mayo. Cada instancia expuesta debe ser revisada ante señales de compromiso, de lo contrario queda un atacante ya establecido sin ser detectado.