Oracle PeopleSoft : le CERT-FR alerte sur de multiples vulnérabilités, dont des risques d'exécution de code à distance

L'équipe de réponse aux incidents de sécurité informatique du gouvernement français (CERT-FR) a émis un avis de sécurité le 17 juin 2026 concernant de multiples vulnérabilités identifiées dans le progiciel Oracle PeopleSoft. Selon cet avis, ces failles pourraient permettre à un attaquant de compromettre la confidentialité et l'intégrité des données, voire d'exécuter du code arbitraire à distance sur les systèmes affectés.

Versions concernées et risques encourus

Les versions spécifiquement visées par ces vulnérabilités sont PeopleSoft Enterprise CS Campus Community version 9.2.38, PeopleSoft Enterprise CS Student Financials version 9.2.38, ainsi que PeopleSoft Enterprise PT PeopleTools versions 8.61 et 8.62. L'avis du CERT-FR détaille les risques associés, à savoir l'atteinte à l'intégrité et à la confidentialité des données, mais surtout l'exécution de code arbitraire à distance, qui constitue la menace la plus critique. Cette dernière pourrait permettre à un acteur malveillant de prendre le contrôle d'un serveur vulnérable.

Origine et références des failles

Ces failles de sécurité ont été rendues publiques à la suite d'un bulletin de sécurité publié par Oracle le 16 juin 2026. Ce bulletin, identifié sous la référence « Oracle PeopleSoft cspujun2026 », énumère onze vulnérabilités, chacune associée à un identifiant CVE (Common Vulnerabilities and Exposures). Parmi celles-ci figurent notamment les références CVE-2026-35271, CVE-2026-35272, CVE-2026-35274, CVE-2026-35276, CVE-2026-35278, CVE-2026-35279, CVE-2026-35288, CVE-2026-35289, CVE-2026-46849, CVE-2026-46851 et CVE-2026-46979.

Recommandations du CERT-FR

Face à ces menaces, le CERT-FR recommande aux administrateurs et aux responsables de sécurité des systèmes d'information de se référer sans délai au bulletin de sécurité publié par Oracle afin d'appliquer les correctifs fournis par l'éditeur. L'agence souligne l'importance de maintenir les systèmes à jour pour prévenir toute exploitation de ces vulnérabilités. Aucune information n'a été communiquée concernant une éventuelle exploitation active de ces failles dans le cadre d'attaques à ce stade.