Retour au blog
CVEHR Techpaie

PeopleSoft CVE-2026-35273 : prise de contrôle sans authentification d'un géant du logiciel RH

Publié le 2026-07-066 min de lectureCleanIssue

> En bref : PeopleSoft PeopleTools 8.61 et 8.62 expose une fonction critique sans authentification. Un attaquant avec un simple accès HTTP peut aller jusqu'à la prise de contrôle. CVSS 9.8, exploitation active, ajoutée au catalogue KEV de la CISA le 12 juin 2026 avec un délai de correction au 15 juin — un signe d'urgence rare.

Le contexte : le SIRH des grands comptes

PeopleSoft, c'est le SIRH et la paie d'une bonne partie des grandes organisations : administrations, universités, groupes industriels. Les données qui transitent par PeopleTools — la couche technique de la suite — sont exactement celles que nous passons notre temps à protéger chez les éditeurs SaaS : salaires, coordonnées bancaires, données de santé, évaluations.

Quand Oracle publie une alerte hors cycle (pas dans son Critical Patch Update trimestriel habituel) et que la CISA laisse trois jours aux agences fédérales pour corriger, la lecture est simple : des attaquants exploitent la faille pendant que vous lisez ces lignes.

La faille : une porte sans serrure

CVE-2026-35273 est classée CWE-306 : *Missing Authentication for Critical Function*. Pas de contournement subtil, pas de cryptographie cassée — une fonction critique accessible en HTTP, sans authentification, exploitable sans interaction utilisateur. Oracle décrit une compromission pouvant aller jusqu'au *takeover* complet de PeopleTools.

CVSS 9.8, soit le haut du spectre : attaque réseau, complexité faible, aucun privilège requis, impact total sur la confidentialité, l'intégrité et la disponibilité.

Si vous exploitez PeopleSoft

  • Appliquez immédiatement le correctif de l'alerte Oracle (PeopleTools 8.61 et 8.62 affectés)
  • En attendant le patch : restreignez l'accès HTTP à PeopleTools aux réseaux internes et VPN — cette couche n'a rien à faire exposée sur Internet
  • Cherchez des indicateurs de compromission antérieurs au correctif : comptes créés, tâches planifiées, accès inhabituels aux tables de paie
  • Traitez les données comme potentiellement exfiltrées si l'instance était exposée — avec ce que ça implique côté CNIL (notification sous 72h si le risque est avéré)
  • Ce que cette faille dit aux éditeurs SaaS RH

    Vous ne faites pas tourner PeopleSoft ? La leçon vous concerne quand même, pour deux raisons.

    D'abord, l'argument commercial. « Même Oracle » laisse passer une fonction critique sans authentification. La sécurité d'un logiciel RH ne se déduit ni de la taille de l'éditeur ni de son ancienneté — elle se vérifie. C'est précisément ce que vos prospects grands comptes ont compris, et c'est pour ça que les questionnaires sécurité sont devenus systématiques.

    Ensuite, le pattern technique. L'authentification manquante sur une fonction critique est l'une des failles que nous trouvons le plus souvent dans les SaaS modernes — sous des formes moins spectaculaires mais tout aussi exploitables : endpoint d'administration « interne » accessible depuis Internet, route de synchronisation appelée par un cron sans vérification, webhook de paie qui accepte n'importe quel appelant, API de reporting montée avant la couche d'auth.

    La question à se poser ce matin : parmi vos endpoints critiques — exports, administration, synchronisation DSN, webhooks — lesquels avez-vous réellement testés sans session valide ? C'est l'un des premiers contrôles de notre Premier diagnostic, en conditions réelles, verdict en 48h.

    Pour aller plus loin

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Sources

    Rédigé par CleanIssue
    Revu le 2026-07-06

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit