つみかさね

CVE-2026-35273

Critical(9.8)

CVE-2026-35273 — Oracle PeopleSoft 認証欠如によるシステム完全掌握(CISA KEV)

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
PeopleSoft Enterprise PeopleToolsOracle8.61, 8.62

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1PeopleSoft PeopleTools 8.61・8.62を利用しているか確認する
  2. 2Oracle Security Alert(2026年6月)のパッチを適用する
  3. 3パッチ適用が困難な場合、外部からのHTTPアクセスを一時的に制限する
  4. 4侵害の痕跡がないかアクセスログを確認する

影響対象

Oracle PeopleSoft PeopleTools 8.61・8.62利用者

補足

  • -CISA KEVに登録されており実際の悪用が確認されています。緊急対応を推奨します
CVEOraclePeopleSoft認証バイパスCISA KEV

概要

Oracle PeopleSoft の PeopleTools(Updates Environment Management コンポーネント)に、重要機能に対する認証の欠如が確認されました。CVSSスコアは9.8(CRITICAL)です。本脆弱性はCISAの既知悪用脆弱性カタログ(KEV)に登録されており、実際の悪用が確認されています。

HTTPネットワークアクセスにより、未認証のリモート攻撃者がPeopleSoft Enterprise PeopleToolsを完全に掌握できます。機密性・完全性・可用性のすべてに高い影響があります。

CVSSベクトル

項目
スコア9.8 (CRITICAL)
CVSSベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)不要 (N)
ユーザー操作 (UI)不要 (N)
スコープ (S)変更なし (U)
機密性への影響 (C)高 (H)
完全性への影響 (I)高 (H)
可用性への影響 (A)高 (H)
CWECWE-306(重要機能に対する認証の欠如)

影響を受けるソフトウェア

製品ベンダー影響バージョン
PeopleSoft Enterprise PeopleToolsOracle8.61
PeopleSoft Enterprise PeopleToolsOracle8.62

修正バージョンと回避策

修正: Oracle Security Alert(2026年6月)に含まれるパッチを適用してください。

Oracleのパッチ適用手順に従い、CPU(Critical Patch Update)の適用を実施してください。CISAのKEV登録により、連邦機関は定められた期限内での対応が義務付けられています。民間企業も同様に優先的な対応が推奨されます。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35273
Oracle Security Alert:https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-35273
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。