#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

NOTFALL-PATCH bei Oracle! Eine 9,8er-Lücke reißt JETZT dein PeopleSoft auf — Angreifer ohne Login drin

NOTFALL-PATCH bei Oracle! Eine 9,8er-Lücke reißt JETZT dein PeopleSoft auf — Angreifer ohne Login drin

Oracle wartet normalerweise auf seine großen Sammel-Updates. Dass der Konzern außer der Reihe einen Notfall-Alarm rausschickt, ist immer ein schlechtes Zeichen — und genau das ist heute passiert.

Am 11. Juni 2026 hat Oracle den Security Alert zu CVE-2026-35273 veröffentlicht. Die Lücke steckt in PeopleSoft Enterprise PeopleTools, dem technischen Unterbau hinter den weit verbreiteten PeopleSoft-Anwendungen für Personal, Finanzen und Verwaltung. Der CVSS-Wert: glatte 9,8 von 10.

WAS DIE LÜCKE SO GEFÄHRLICH MACHT

Bei erfolgreichem Angriff droht Remote Code Execution — also das Ausführen von fremdem Code auf dem Server. Das Schlimmste: Laut Einstufung ist dafür keine Anmeldung nötig und die Lücke lässt sich über das Netzwerk ausnutzen. Wer ein verwundbares PeopleSoft-System erreichbar im Netz hat, gibt einem Angreifer im schlimmsten Fall die Kontrolle.

PeopleSoft ist kein Nischenprodukt. Hinter den Systemen stecken oft Gehaltsdaten, Personalakten und Finanzprozesse großer Organisationen — genau die Art von Daten, die Angreifer und Erpresser lieben.

WER JETZT HANDELN MUSS

Betroffen sind Organisationen, die PeopleSoft PeopleTools einsetzen. Da Oracle einen eigenen Alert statt nur eines Eintrags im Quartals-Patch herausgibt, stuft der Hersteller das Risiko als dringend ein. In der Praxis heißt das: Nicht auf das nächste geplante Wartungsfenster warten, sondern den Fix vorziehen.

Wichtig auch für alle, die PeopleSoft nicht direkt verwalten: Sprich mit deinem Dienstleister oder deiner IT-Abteilung. Solche Systeme laufen oft im Hintergrund, und niemand denkt an sie — bis es zu spät ist.

SO GEHST DU VOR

SCHRITT 1: Im Oracle-Security-Alert nachsehen, welche PeopleTools-Versionen betroffen sind und welches Update sie schließt. SCHRITT 2: Den Patch in einer Testumgebung einspielen, dann produktiv ausrollen. SCHRITT 3: Prüfen, ob das System überhaupt aus dem Internet erreichbar sein muss — oft lässt sich die Angriffsfläche durch Netzsegmentierung sofort verkleinern.

EXTRA-TIPP: Auch wenn noch keine aktive Ausnutzung bekannt ist — bei CVSS 9.8 und öffentlichem Alarm ist es nur eine Frage der Zeit, bis Angreifer die Lücke unter die Lupe nehmen. Schnelligkeit schlägt hier alles.

FAZIT: Ein außerplanmäßiger Oracle-Alarm mit 9,8 ist ein lautes Signal. Wer PeopleSoft betreibt, sollte heute Abend nicht mehr abwarten, sondern den Patch fest einplanen.

Häufige Fragen

Welche Systeme sind von CVE-2026-35273 betroffen?
Die Lücke steckt in Oracle PeopleSoft Enterprise PeopleTools, dem technischen Fundament der PeopleSoft-Anwendungen. Die genauen verwundbaren Versionen nennt Oracles Security Alert — dort solltest du zuerst nachsehen.
Wie merke ich, ob mein System verwundbar ist?
Prüfe, welche PeopleTools-Version bei dir läuft, und gleiche sie mit dem Oracle-Alert ab. Achte zusätzlich darauf, ob das System aus dem Internet erreichbar ist — das erhöht das Risiko deutlich.
Gab es schon aktive Angriffe?
Zum Zeitpunkt des Alerts sind keine bestätigten Angriffe bekannt. Bei CVSS 9.8 und einem außerplanmäßigen Hinweis solltest du trotzdem so handeln, als wäre die Ausnutzung nur eine Frage der Zeit.
Was, wenn ich nicht sofort patchen kann?
Verkleinere die Angriffsfläche: Nimm das System wenn möglich aus dem öffentlichen Netz, sichere den Zugang über Netzsegmentierung und VPN ab, und ziehe den Patch trotzdem so früh wie möglich nach.

Quellen:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert