つみかさね

CVE-2026-35278

Critical(9.8)

CVE-2026-35278 — Oracle PeopleSoft PeopleTools 認証バイパスによる完全乗っ取り

公開日: 2026-06-19データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
PeopleSoft Enterprise PT PeopleToolsOracle8.61, 8.62

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1PeopleSoft PeopleTools のバージョンを確認する(8.61 または 8.62 が対象)
  2. 2Oracle June 2026 Critical Patch Update を適用する
  3. 3Performance Monitor エンドポイントへのネットワークアクセスを制限する

影響対象

PeopleSoft Enterprise PT PeopleTools 8.61 利用者PeopleSoft Enterprise PT PeopleTools 8.62 利用者

補足

  • -パッチ適用まで期間がある場合は、Performance Monitor への外部アクセスをファイアウォールで遮断してください
CVEOraclePeopleSoftPeopleTools認証バイパス

概要

Oracle PeopleSoft の PeopleSoft Enterprise PT PeopleTools 製品(Performance Monitor コンポーネント)に、認証機構の欠如(CWE-306)に起因する脆弱性が存在します。未認証の攻撃者が HTTP を通じてリモートから攻撃でき、成功すると PeopleTools の完全乗っ取りが可能です。CVSS 3.1 スコアは 9.8(Critical)です。

Oracle June 2026 Critical Patch Update(CPU)として 2026年6月17日に公開されました。

CVSSベクトル

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

項目意味
攻撃経路(AV)ネットワーク(N)リモートから攻撃可能
攻撃の複雑さ(AC)低(L)特別な条件なし
必要な権限(PR)なし(N)認証不要
ユーザー操作(UI)なし(N)ユーザー操作不要
スコープ変更(S)変更なし(U)
機密性影響(C)高(H)情報漏洩の可能性
完全性影響(I)高(H)データ改ざんの可能性
可用性影響(A)高(H)サービス停止の可能性

影響を受けるソフトウェア

製品影響バージョン修正
PeopleSoft Enterprise PT PeopleTools8.61Oracle June 2026 CPU 適用
PeopleSoft Enterprise PT PeopleTools8.62Oracle June 2026 CPU 適用

修正バージョンと対応策

  • Oracle June 2026 Critical Patch Update を適用する
  • Performance Monitor へのネットワークアクセスを必要最小限に制限することで、攻撃対象面を縮小できます

関連リンク

データソース: NVD (NIST), Oracle Security Alerts AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-35263Oracle WebLogic Server 完全乗っ取りCVSS 9.9CVE-2026-35286Oracle WebCenter Content 完全乗っ取りCVSS 9.8

参考リンク

Oracle:https://www.oracle.com/security-alerts/cspujun2026.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35278
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。