El grupo de delincuencia informática ShinyHunters ha utilizado una vulnerabilidad crítica de Oracle PeopleSoft, catalogada como zero-day, para infiltrarse y comprometer la seguridad de más de 100 organizaciones en todo el mundo. Entre las víctimas se encuentra la Universidad de Nottingham, donde se accedió a cerca de 300 instalaciones vulnerables, según informó un portavoz del colectivo a The Register.
La brecha en cuestión, identificada como CVE-2026-35273 y con una puntuación de gravedad de 9.8 sobre 10 en la escala CVSS, permite a atacantes remotos sin autenticar tomar el control total de sistemas PeopleSoft Enterprise PeopleTools a través de acceso mediante HTTP.
ShinyHunters aseguró haber robado 40 GB de datos personales y registros de facturación pertenecientes a cientos de miles de estudiantes actuales y antiguos de la universidad británica. La información fue publicada en el sitio de filtraciones del grupo poco después de que la institución aparentemente rehusara pagar un rescate.
La Universidad de Nottingham confirmó la fuga de datos el miércoles, un día tras la publicación, mientras Oracle emitió un aviso de seguridad extraordinario. No está claro si ya se ha lanzado un parche definitivo para corregir la vulnerabilidad. Desde Oracle no respondieron a las solicitudes de información.
Un informe de inteligencia de amenazas de Google añadió que entre el 27 de mayo y el 9 de junio se detectaron actividades maliciosas alineadas con la explotación de esta vulnerabilidad, notificando a más de 100 organizaciones cuyos sistemas podrían estar comprometidos. La mayoría de estas víctimas se localizan en Estados Unidos, y el 68 % pertenece al sector educativo superior.
Charles Carmakal, director técnico de Mandiant (filial de Google), alertó en LinkedIn que CVE-2026-35273 es una de dos vulnerabilidades zero-day que están siendo explotadas activamente en entornos reales, y añadió que Oracle ya ha publicado medidas mitigadoras, con parches previstos para su lanzamiento pronto. La otra vulnerabilidad afecta a Cisco Catalyst SD-WAN Manager.
