L'équipe de réponse aux incidents de sécurité informatique du gouvernement français (CERT-FR) a publié un avis de sécurité concernant de multiples vulnérabilités découvertes dans Oracle PeopleSoft, un logiciel de gestion des ressources humaines et de planification des ressources de l'entreprise. Les failles identifiées pourraient permettre à un attaquant d'exécuter du code arbitraire à distance.
Détails des vulnérabilités
L'alerte, émise le 17 juin 2026, fait état de plusieurs failles de sécurité critiques affectant différentes versions d'Oracle PeopleSoft. Les risques les plus graves incluent l'exécution de code à distance, qui pourrait permettre à un cybercriminel de prendre le contrôle d'un système vulnérable. D'autres failles pourraient compromettre la confidentialité des données stockées dans l'application.
Versions concernées
Les versions d'Oracle PeopleSoft touchées par ces vulnérabilités incluent notamment la version 9.2, ainsi que certaines versions antérieures. Le CERT-FR précise que les correctifs de sécurité sont fournis par Oracle dans le cadre de son Critical Patch Update (CPU) du mois de juin 2026. Les administrateurs sont invités à appliquer ces mises à jour sans délai.
Recommandations
L'agence de cybersécurité recommande aux organisations utilisant Oracle PeopleSoft de vérifier leur version et d'appliquer immédiatement les correctifs publiés par l'éditeur. Il est également conseillé de surveiller les systèmes pour détecter toute activité suspecte et de suivre les bonnes pratiques de sécurité, comme la limitation des accès réseau aux seules adresses IP autorisées.
Contexte
Cette alerte s'inscrit dans un contexte de multiplication des avertissements de sécurité émis par le CERT-FR ces dernières semaines. L'agence a récemment signalé des vulnérabilités dans d'autres produits largement utilisés, tels que le framework Spring, l'outil de gestion de projets Redmine, et le système de détection d'intrusion Suricata. La publication de cet avis souligne l'importance pour les organisations de maintenir à jour leurs logiciels critiques et de suivre les recommandations des autorités de cybersécurité.
