Una falla zero-day in Oracle PeopleSoft colpisce oltre 100 organizzazioni, soprattutto università
Sfruttata una vulnerabilità critica (CVSS 9.8) che consente l'esecuzione di codice senza autenticazione. Dietro la campagna di estorsione il gruppo ShinyHunters; Oracle ha rilasciato una patch d'emergenza.
Una vulnerabilità grave nel software gestionale Oracle PeopleSoft è stata sfruttata in una campagna di estorsione su larga scala. Identificata come CVE-2026-35273 e classificata con un punteggio di gravità di 9,8 su 10, la falla consente a un attaccante di eseguire codice da remoto senza alcuna autenticazione, attraverso un componente di gestione degli ambienti.
Secondo le ricostruzioni di società di sicurezza, tra cui il gruppo Mandiant di Google, l'attività è stata osservata tra la fine di maggio e l'inizio di giugno e ha colpito oltre 100 organizzazioni: la maggior parte sono istituzioni accademiche, in particolare statunitensi. Dietro gli attacchi ci sarebbe il gruppo noto come ShinyHunters, che ha iniziato a pubblicare i dati rubati su un proprio sito. Oracle ha risposto con un avviso e una correzione fuori dal calendario ordinario degli aggiornamenti.
Il caso è un promemoria di un principio elementare ma spesso disatteso: i software gestionali che custodiscono i dati di studenti, dipendenti e fornitori sono bersagli di altissimo valore, e una vulnerabilità non autenticata è la chiave universale che ogni attaccante cerca. La rapidità nell'applicare le patch, qui, non è un dettaglio tecnico: è la differenza tra un incidente sfiorato e una violazione.
