10 июня 2026 года Oracle выпустил внеплановый патч для PeopleSoft PeopleTools версий 8.61 и 8.62. Уязвимость получила идентификатор CVE-2026-35273 и оценку 9.8 по шкале CVSS — то есть критический максимум. Патч появился через день после того, как группировка SHADOW-AETHER-015, известная также под именем ShinyHunters, завершила двухнедельную кампанию. По данным отчёта Mandiant, опубликованного 11 июня 2026 года, атаки начались ещё 27 мая и к моменту выхода исправления затронули более ста организаций, в первую очередь из сферы высшего образования.

Уязвимость была обнаружена и передана вендору через TrendAI Zero Day Initiative. Технически она представляет собой связку из двух механизмов: Server-Side Request Forgery и десериализации через Java XMLDecoder. Именно сочетание этих двух элементов делает CVE-2026-35273 особенно неприятной для защитников.
Архитектура PeopleSoft включает два компонента, которые на первый взгляд не должны были создать проблему вместе. Первый — PSIGW, шлюз Integration Gateway, который принимает входящие интеграционные сообщения на публичном эндпоинте /PSIGW/HttpListeningConnector без какой-либо аутентификации. Второй — PSEMHUB, внутренний сервлет управления средой, который по замыслу не должен быть доступен из недоверенных сетей. Доступ к нему контролируется через IP-фильтр с функцией validateClient, разрешающий соединения только с доверенных хостов.
Проблема в том, что PSIGW добросовестно пересылает запросы, а PSEMHUB доверяет всему, что выглядит как локальное соединение. Атакующий отправляет неаутентифицированный POST-запрос на /PSIGW/HttpListeningConnector, вкладывая в тело XML-сообщение формата IBRequest с элементом ConnectorParam, указывающим на адрес loopback самого сервера. Шлюз выполняет запрос от своего имени — и validateClient видит соединение с локального хоста. Барьер обойдён без единого логина.
После получения доступа к PSEMHUB цепочка эксплуатации разворачивается в несколько шагов. Через хаб атакующий записывает управляемый им контент в директорию envmetadata/transactions/, затем помещает специально сформированный XML-файл в envmetadata/data/environment/. На этом этапе не происходит ничего заметного. Payload лежит на диске в состоянии покоя. Выполнение кода откладывается до следующей перезагрузки веб-уровня — именно тогда PSEMHUB вызывает XMLDecoder для десериализации XML, создаёт объекты, выбранные атакующим, и отдаёт ему выполнение с правами SYSTEM на Windows или psadm2 на Unix-системах. Здесь есть принципиальная деталь: предыдущее ужесточение Oracle, связанное с фильтрами сериализации Java, не распространялось на путь XMLDecoder. Поэтому полностью пропатченные до 10 июня системы оставались уязвимы.
После получения RCE атакующий мог выбрать один из двух путей. Первый — разместить JSP-веб-шелл в docroot PSEMHUB.war для постоянного интерактивного доступа. Второй — инициировать исходящий SMB-трафик на порт 445, чтобы перехватить или передать NetNTLM-учётные данные машинного аккаунта.
Самое сложное с точки зрения обнаружения — то, что вся цепочка спроектирована против стандартных методов детектирования. SSRF-запрос уходит на loopback и никогда не пересекает сетевые сенсоры. Десериализация XMLDecoder и выполнение JSP-веб-шелла происходят внутри JVM WebLogic и не порождают дочерних процессов, если веб-шелл явно не запускает команды ОС. Между записью payload и его исполнением существует намеренный временной разрыв. Тихий SIEM не означает, что система чиста.
Для охоты и детектирования TrendAI Vision One XDR предоставляет следующие запросы. В данных о сетевой активности стоит искать комбинации вида request:"/PSIGW/HttpListeningConnector" AND (request:"PSEMHUB/hub" OR request:"localhost" OR request:"127.0.0.1") и прямые обращения к /PSEMHUB/hub. В данных о файловой активности — записи в envmetadata/transactions и envmetadata/data/environment, исключив из выборки процессы ChangeAssistant, NetBackup, bpbkar и psae. Отдельно следует проверять появление новых JSP-файлов в PSEMHUB.war. Здесь важно учитывать два источника ложных срабатываний: собственный SOAP/XML-трафик Integration Broker может ошибочно совпасть с сигнатурами для других продуктов (например, Django-эксплоита), а PeopleSoft Change Assistant и Veritas NetBackup в штатном режиме пишут именно в эти директории.
TrendAI выпустил ряд конкретных правил защиты. В Deep Discovery действует правило 5863 «Oracle PeopleSoft HubMBeanPersistance Deserialization of Untrusted Data RCE Exploit — HTTP (Request)». TippingPoint закрывает угрозу тремя фильтрами: 47502 (CVE-2026-35273 SSRF), 47529 и 47545 (ZDI-CAN-31817 и ZDI-CAN-31818). Для Deep Security, Vision One SWP и Endpoint Security IPS предназначены фильтры 1012580 и 1012585. В Threat Intelligence Hub доступны профиль угрозы SHADOW-AETHER-015 и полный отчёт по CVE-2026-35273. Алерт KA-0023679 содержит первоначальные рекомендации по детектированию.
В ATT&CK атака описывается тремя техниками: T1190 (эксплуатация публично доступного приложения) как начальный вектор через SSRF с последующей XMLDecoder-десериализацией, T1505.003 (веб-шелл как компонент серверного ПО) и T1187 (принудительная аутентификация через SMB-коерцию). Важно учитывать, что ATT&CK не имеет отдельной техники для серверной XMLDecoder-десериализации — она рассматривается как механизм T1190.
[]Сегментировать шлюз от PSEMHUB так, чтобы loopback-запросы с шлюза не удовлетворяли validateClient.
[]Настроить мониторинг записей в envmetadata/ с исключением легитимных процессов Change Assistant и Veritas NetBackup.
[]Рассматривать перезапуск веб-уровня как событие, требующее внимания: именно в этот момент дремлющий XML-объект превращается в живой код.
[]Инспекторам по реагированию на инциденты: сохранять содержимое envmetadata/ и логи перезапуска веб-уровня в первую очередь — файловые артефакты несут больше доказательной ценности, чем дерево процессов.
Уязвимость устранена. Но паттерн, который она воплощает, публичный шлюз, пересылающий запросы внутреннему сервлету, с выполнением кода, отложенным до перезапуска JVM, встречался раньше и встретится снова в других корпоративных приложениях. Детектирование, выстроенное вокруг путей хранения persistence-артефактов и поведения при перезапуске, а не вокруг аномалий в деревьях процессов или сетевых сигнатур, даёт реальное преимущество при следующей итерации этого класса атак.

Изображение носит иллюстративный характер
Уязвимость была обнаружена и передана вендору через TrendAI Zero Day Initiative. Технически она представляет собой связку из двух механизмов: Server-Side Request Forgery и десериализации через Java XMLDecoder. Именно сочетание этих двух элементов делает CVE-2026-35273 особенно неприятной для защитников.
Архитектура PeopleSoft включает два компонента, которые на первый взгляд не должны были создать проблему вместе. Первый — PSIGW, шлюз Integration Gateway, который принимает входящие интеграционные сообщения на публичном эндпоинте /PSIGW/HttpListeningConnector без какой-либо аутентификации. Второй — PSEMHUB, внутренний сервлет управления средой, который по замыслу не должен быть доступен из недоверенных сетей. Доступ к нему контролируется через IP-фильтр с функцией validateClient, разрешающий соединения только с доверенных хостов.
Проблема в том, что PSIGW добросовестно пересылает запросы, а PSEMHUB доверяет всему, что выглядит как локальное соединение. Атакующий отправляет неаутентифицированный POST-запрос на /PSIGW/HttpListeningConnector, вкладывая в тело XML-сообщение формата IBRequest с элементом ConnectorParam, указывающим на адрес loopback самого сервера. Шлюз выполняет запрос от своего имени — и validateClient видит соединение с локального хоста. Барьер обойдён без единого логина.
После получения доступа к PSEMHUB цепочка эксплуатации разворачивается в несколько шагов. Через хаб атакующий записывает управляемый им контент в директорию envmetadata/transactions/, затем помещает специально сформированный XML-файл в envmetadata/data/environment/. На этом этапе не происходит ничего заметного. Payload лежит на диске в состоянии покоя. Выполнение кода откладывается до следующей перезагрузки веб-уровня — именно тогда PSEMHUB вызывает XMLDecoder для десериализации XML, создаёт объекты, выбранные атакующим, и отдаёт ему выполнение с правами SYSTEM на Windows или psadm2 на Unix-системах. Здесь есть принципиальная деталь: предыдущее ужесточение Oracle, связанное с фильтрами сериализации Java, не распространялось на путь XMLDecoder. Поэтому полностью пропатченные до 10 июня системы оставались уязвимы.
После получения RCE атакующий мог выбрать один из двух путей. Первый — разместить JSP-веб-шелл в docroot PSEMHUB.war для постоянного интерактивного доступа. Второй — инициировать исходящий SMB-трафик на порт 445, чтобы перехватить или передать NetNTLM-учётные данные машинного аккаунта.
Самое сложное с точки зрения обнаружения — то, что вся цепочка спроектирована против стандартных методов детектирования. SSRF-запрос уходит на loopback и никогда не пересекает сетевые сенсоры. Десериализация XMLDecoder и выполнение JSP-веб-шелла происходят внутри JVM WebLogic и не порождают дочерних процессов, если веб-шелл явно не запускает команды ОС. Между записью payload и его исполнением существует намеренный временной разрыв. Тихий SIEM не означает, что система чиста.
Для охоты и детектирования TrendAI Vision One XDR предоставляет следующие запросы. В данных о сетевой активности стоит искать комбинации вида request:"/PSIGW/HttpListeningConnector" AND (request:"PSEMHUB/hub" OR request:"localhost" OR request:"127.0.0.1") и прямые обращения к /PSEMHUB/hub. В данных о файловой активности — записи в envmetadata/transactions и envmetadata/data/environment, исключив из выборки процессы ChangeAssistant, NetBackup, bpbkar и psae. Отдельно следует проверять появление новых JSP-файлов в PSEMHUB.war. Здесь важно учитывать два источника ложных срабатываний: собственный SOAP/XML-трафик Integration Broker может ошибочно совпасть с сигнатурами для других продуктов (например, Django-эксплоита), а PeopleSoft Change Assistant и Veritas NetBackup в штатном режиме пишут именно в эти директории.
TrendAI выпустил ряд конкретных правил защиты. В Deep Discovery действует правило 5863 «Oracle PeopleSoft HubMBeanPersistance Deserialization of Untrusted Data RCE Exploit — HTTP (Request)». TippingPoint закрывает угрозу тремя фильтрами: 47502 (CVE-2026-35273 SSRF), 47529 и 47545 (ZDI-CAN-31817 и ZDI-CAN-31818). Для Deep Security, Vision One SWP и Endpoint Security IPS предназначены фильтры 1012580 и 1012585. В Threat Intelligence Hub доступны профиль угрозы SHADOW-AETHER-015 и полный отчёт по CVE-2026-35273. Алерт KA-0023679 содержит первоначальные рекомендации по детектированию.
В ATT&CK атака описывается тремя техниками: T1190 (эксплуатация публично доступного приложения) как начальный вектор через SSRF с последующей XMLDecoder-десериализацией, T1505.003 (веб-шелл как компонент серверного ПО) и T1187 (принудительная аутентификация через SMB-коерцию). Важно учитывать, что ATT&CK не имеет отдельной техники для серверной XMLDecoder-десериализации — она рассматривается как механизм T1190.
- []Немедленно установить патч Oracle от 10 июня 2026 года для PeopleTools 8.61 и 8.62.
[]Провести расследование на предмет компрометации до установки патча — активность зафиксирована с 27 мая 2026 года.
[]Убедиться, что
[]Сегментировать шлюз от PSEMHUB так, чтобы loopback-запросы с шлюза не удовлетворяли validateClient.
[]Настроить мониторинг записей в envmetadata/ с исключением легитимных процессов Change Assistant и Veritas NetBackup.
[]Рассматривать перезапуск веб-уровня как событие, требующее внимания: именно в этот момент дремлющий XML-объект превращается в живой код.
[]Инспекторам по реагированию на инциденты: сохранять содержимое envmetadata/ и логи перезапуска веб-уровня в первую очередь — файловые артефакты несут больше доказательной ценности, чем дерево процессов.
Уязвимость устранена. Но паттерн, который она воплощает, публичный шлюз, пересылающий запросы внутреннему сервлету, с выполнением кода, отложенным до перезапуска JVM, встречался раньше и встретится снова в других корпоративных приложениях. Детектирование, выстроенное вокруг путей хранения persistence-артефактов и поведения при перезапуске, а не вокруг аномалий в деревьях процессов или сетевых сигнатур, даёт реальное преимущество при следующей итерации этого класса атак.