PeopleSoft CVE-2026-35273 : prise de contrôle sans authentification d'un géant du logiciel RH
> En bref : PeopleSoft PeopleTools 8.61 et 8.62 expose une fonction critique sans authentification. Un attaquant avec un simple accès HTTP peut aller jusqu'à la prise de contrôle. CVSS 9.8, exploitation active, ajoutée au catalogue KEV de la CISA le 12 juin 2026 avec un délai de correction au 15 juin — un signe d'urgence rare.
Le contexte : le SIRH des grands comptes
PeopleSoft, c'est le SIRH et la paie d'une bonne partie des grandes organisations : administrations, universités, groupes industriels. Les données qui transitent par PeopleTools — la couche technique de la suite — sont exactement celles que nous passons notre temps à protéger chez les éditeurs SaaS : salaires, coordonnées bancaires, données de santé, évaluations.
Quand Oracle publie une alerte hors cycle (pas dans son Critical Patch Update trimestriel habituel) et que la CISA laisse trois jours aux agences fédérales pour corriger, la lecture est simple : des attaquants exploitent la faille pendant que vous lisez ces lignes.
La faille : une porte sans serrure
CVE-2026-35273 est classée CWE-306 : *Missing Authentication for Critical Function*. Pas de contournement subtil, pas de cryptographie cassée — une fonction critique accessible en HTTP, sans authentification, exploitable sans interaction utilisateur. Oracle décrit une compromission pouvant aller jusqu'au *takeover* complet de PeopleTools.
CVSS 9.8, soit le haut du spectre : attaque réseau, complexité faible, aucun privilège requis, impact total sur la confidentialité, l'intégrité et la disponibilité.
Si vous exploitez PeopleSoft
Ce que cette faille dit aux éditeurs SaaS RH
Vous ne faites pas tourner PeopleSoft ? La leçon vous concerne quand même, pour deux raisons.
D'abord, l'argument commercial. « Même Oracle » laisse passer une fonction critique sans authentification. La sécurité d'un logiciel RH ne se déduit ni de la taille de l'éditeur ni de son ancienneté — elle se vérifie. C'est précisément ce que vos prospects grands comptes ont compris, et c'est pour ça que les questionnaires sécurité sont devenus systématiques.
Ensuite, le pattern technique. L'authentification manquante sur une fonction critique est l'une des failles que nous trouvons le plus souvent dans les SaaS modernes — sous des formes moins spectaculaires mais tout aussi exploitables : endpoint d'administration « interne » accessible depuis Internet, route de synchronisation appelée par un cron sans vérification, webhook de paie qui accepte n'importe quel appelant, API de reporting montée avant la couche d'auth.
La question à se poser ce matin : parmi vos endpoints critiques — exports, administration, synchronisation DSN, webhooks — lesquels avez-vous réellement testés sans session valide ? C'est l'un des premiers contrôles de notre Premier diagnostic, en conditions réelles, verdict en 48h.
Pour aller plus loin
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
Fiches de paie en PDF : où les équipes se trompent sur le stockage
Buckets publics, URLs devinables, contrôle d'accès côté application uniquement — les erreurs de stockage des bulletins les plus courantes.
Les 5 failles les plus courantes sur les logiciels de paie et RH
Les expositions que l'on retrouve le plus souvent sur les logiciels RH et de paie : rôles mal séparés, exports trop ouverts, documents accessibles et APIs trop bavardes.
HR Tech & paie : données sensibles, failles simples
Les logiciels RH manipulent salaires, IBANs et documents d'identité. Voici les vulnérabilités les plus fréquentes.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.