Oracle heeft ernstige kwetsbaarheden gedicht in PeopleSoft. Het gaat om PeopleTools 8.61 en 8.62, en om Campus Solutions-componenten CS Campus Community en Student Financials (versie 9.2.38). Door fouten in toegangscontrole konden aanvallers via HTTP(S) beveiliging omzeilen, gevoelige data aanmaken, verwijderen of wijzigen en in sommige gevallen het volledige systeem overnemen. Dat raakt de vertrouwelijkheid, integriteit én beschikbaarheid van de omgeving.

Opvallend is een recent, kritiek lek in PeopleTools dat Oracle buiten de reguliere updatecyclus om heeft hersteld. Het betreft een kwetsbaarheid in de Updates Environment Management‑component (CVE-2026-35273) met een CVSS-score 9.8. Aanvallers kunnen deze fout op afstand misbruiken zonder in te loggen; succesvol misbruik kan leiden tot remote code execution. Oracle adviseert organisaties met PeopleTools 8.61 en 8.62 met klem om direct te patchen. (oracle.com)

Dat advies komt niet uit de lucht vallen. Onderzoekers meldden recent actieve aanvallen waarbij de extortiegroep ShinyHunters PeopleSoft-omgevingen inschakelde voor datadiefstal en chantage. Vooral onderwijsinstellingen bleken getroffen. Mandiant waarschuwde om logbestanden te controleren op verdachte toegang in de periode van eind mei tot begin juni 2026 en direct de Oracle‑patch te installeren. (helpnetsecurity.com)

De recente fix staat niet op zichzelf. In de Critical Patch Update (CPU) van april 2026 adresseerde Oracle eveneens kwetsbaarheden in PeopleSoft PeopleTools, waaronder een authenticatie‑bypass (CVE‑2026‑34269) die 8.61 en 8.62 treft. Dit onderstreept hoe belangrijk het is om elk kwartaal bij te blijven met Oracle’s CPU’s. (oracle.com)

Ook binnen Campus Solutions zijn nu concrete risico’s benoemd. Voor CS Campus Community en Student Financials versie 9.2.38 publiceerde Oracle updates voor meerdere kwetsbaarheden die – afhankelijk van rechtenniveau – misbruik via HTTP(S) mogelijk maken, met risico op manipulatie van kritieke gegevens en, in sommige scenario’s, systeemovername. In Oracle’s risicomatrices worden onder meer CVE‑2026‑46851 (CS Campus Community, component Security) en aanverwante issues genoemd. (oracle.com)

Wat betekent dit in de praktijk?

• Patch nu. Breng PeopleTools 8.61/8.62 en Campus Solutions 9.2.38 naar de nieuwste, door Oracle ondersteunde patchstand. Wacht niet op het reguliere onderhoudsvenster als systemen blootstaan aan internet. (oracle.com)
• Minimaliseer blootstelling. Beperk toegang tot PeopleSoft‑webcomponenten tot strikt noodzakelijke netwerken en zet waar mogelijk extra filtering of een WAF in. (Algemene best practice)
• Controleer logs en artefacten. Scan op ongebruikelijke aanmeldingen, nieuwe integratiepunten of onverwachte wijzigingen in beheeraccounts sinds eind mei 2026. (techradar.com)
• Herstel hygiëne. Reset inloggegevens van beheerders, roteer API‑sleutels en sessies, en voer het principe van least privilege strakker door. (Algemene best practice)
• Blijf bij met kwartaal‑CPU’s. Oracle brengt elk kwartaal beveiligingsupdates uit (januari, april, juli, oktober); plan structureel in om die snel te testen en uit te rollen. (docs.oracle.com)

Kort gezegd: Oracle heeft de gaten gedicht, maar de urgentie is hoog. Zorg dat je PeopleSoft‑landschap up‑to‑date is, beperk de aanvalsvectoren en controleer proactief op tekenen van misbruik. Dat verkleint niet alleen de kans op inbraak, maar ook de impact als een aanvaller al binnen is.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.