### Grave vulnerabilidad zero-day en Oracle PeopleSoft Suite permite ejecución remota de código: CVE-2026-35273 bajo ataque activo
#### 1. Introducción
Oracle ha emitido una alerta de máxima prioridad sobre una vulnerabilidad crítica de día cero en su popular suite PeopleSoft, identificada como CVE-2026-35273. Esta brecha de seguridad permite la ejecución remota de código sin necesidad de autenticación y está siendo explotada activamente por el grupo ShinyHunters, conocido por sus campañas de robo de datos a gran escala. El incidente ha puesto en alerta a profesionales de ciberseguridad, directores de seguridad (CISOs), analistas de SOC y especialistas en pentesting, dada la amplia implantación de PeopleSoft en sectores críticos como administración pública, educación superior y grandes corporaciones.
#### 2. Contexto del Incidente o Vulnerabilidad
PeopleSoft es un conjunto de soluciones empresariales de Oracle desplegado en miles de organizaciones globalmente, gestionando recursos humanos, finanzas, cadena de suministro y más. El descubrimiento de una vulnerabilidad zero-day de esta magnitud en una plataforma tan extendida supone un riesgo sistémico, especialmente porque ya se ha confirmado su explotación en escenarios reales. La alerta de Oracle coincide con la publicación de incidentes atribuidos a ShinyHunters, grupo especializado en exfiltración y venta de grandes volúmenes de datos corporativos en foros clandestinos.
La vulnerabilidad afecta a múltiples versiones de PeopleSoft, aunque Oracle aún no ha publicado el listado completo de versiones comprometidas. No obstante, análisis preliminares sugieren que las ramas 8.59 y 8.60, ampliamente desplegadas en entornos productivos, estarían entre las más expuestas.
#### 3. Detalles Técnicos
**Identificador:** CVE-2026-35273
**Vector de ataque:** Ejecución remota de código (RCE) sin autenticación
**Técnicas asociadas (MITRE ATT&CK):**
– T1190: Exploit Public-Facing Application
– T1059: Command and Scripting Interpreter
– T1566: Phishing (en etapas de acceso inicial complementario)
La explotación de CVE-2026-35273 permite a los atacantes ejecutar comandos arbitrarios en el servidor afectado con los privilegios del proceso PeopleSoft, comprometiendo la totalidad del entorno. Investigaciones forenses identifican el uso de payloads cargados vía HTTP(S) en endpoints expuestos, aprovechando una validación insuficiente en los mecanismos de parsing de solicitudes XML. Los indicadores de compromiso (IoC) incluyen patrones inusuales en los logs de acceso, creación de procesos anómalos y tráfico saliente cifrado hacia dominios asociados a ShinyHunters.
Se han detectado campañas activas que emplean scripts automatizados y herramientas como Metasploit para la explotación masiva de entornos vulnerables, así como la distribución de exploits en foros clandestinos de hacking.
#### 4. Impacto y Riesgos
El riesgo principal es la completa toma de control de los sistemas afectados, permitiendo el acceso, modificación o exfiltración de información crítica, así como la posibilidad de despliegue de ransomware o instalación de puertas traseras persistentes. Según estimaciones iniciales, más del 30% de las organizaciones con PeopleSoft expuesto a Internet podrían estar en riesgo inmediato, con pérdidas económicas potenciales superiores a los 10 millones de euros por incidentes de fuga de datos y sanciones regulatorias bajo GDPR o NIS2.
El impacto se agrava por la integración de PeopleSoft con otros sistemas críticos, lo que facilita movimientos laterales y ataques en cadena dentro de la infraestructura TI de la víctima.
#### 5. Medidas de Mitigación y Recomendaciones
Oracle está trabajando en un parche de emergencia, pero recomienda con urgencia las siguientes acciones mientras tanto:
– **Segmentación de red:** Restringir el acceso a los servidores PeopleSoft desde redes internas exclusivamente.
– **Filtrado de tráfico:** Implementar WAF y reglas específicas para bloquear patrones de explotación conocidos.
– **Monitorización:** Revisar logs de acceso, procesos y conexiones salientes en busca de IoCs publicados por Oracle y la comunidad.
– **Deshabilitar funciones innecesarias:** Limitar o bloquear funciones expuestas relacionadas con la carga y procesamiento de XML.
– **Aplicar parches:** Implementar tan pronto como estén disponibles los parches de Oracle y seguir las mejores prácticas de hardening recomendadas en la documentación oficial.
#### 6. Opinión de Expertos
Especialistas en ciberseguridad, como miembros del SANS Internet Storm Center y analistas de Mandiant, subrayan la criticidad del fallo y la necesidad de priorizar la respuesta ante esta amenaza. “Las vulnerabilidades zero-day en productos como PeopleSoft no solo afectan a un sistema aislado, sino que pueden tener ramificaciones devastadoras a nivel organizativo y sectorial”, advierte Javier López, consultor de respuesta a incidentes. Se anticipa que la explotación de CVE-2026-35273 podría aumentar en las próximas semanas, especialmente si se publican exploits funcionales en repositorios abiertos.
#### 7. Implicaciones para Empresas y Usuarios
La explotación de este zero-day obliga a las organizaciones a revisar su postura de seguridad respecto a aplicaciones empresariales críticas. El cumplimiento de normativas como GDPR y NIS2 exige una gestión proactiva de vulnerabilidades y una respuesta ágil ante incidentes de esta magnitud. Las empresas deben reforzar sus políticas de segmentación, monitorización y actualización de software, así como sensibilizar a sus equipos técnicos sobre la importancia de gestionar riesgos asociados a aplicaciones legacy expuestas.
#### 8. Conclusiones
El descubrimiento y explotación activa del CVE-2026-35273 en Oracle PeopleSoft Suite representa una grave amenaza para la seguridad de la información en organizaciones de todo el mundo. La ventana de exposición permanecerá abierta hasta la liberación y aplicación generalizada del parche oficial. Mientras tanto, las medidas de contención y el refuerzo de la monitorización son imprescindibles para mitigar el riesgo de brechas de datos y daños económicos y reputacionales irreparables.
(Fuente: www.bleepingcomputer.com)