偵測

Oracle PeopleSoft 未經驗證的 Java 還原序列化 SSRF/RCE (CVE-2026-35273)

critical Nessus Plugin ID 321385

語言:

概要

遠端 Oracle PeopleSoft PeopleTools 伺服器受到整合代理程式中未經驗證的伺服器端要求偽造 (SSRF) 弱點影響,攻擊者可將要求轉送至本機環境管理中樞,並最終實現遠端程式碼執行。

說明

遠端 Oracle PeopleSoft PeopleTools 伺服器會在相同的 Web 層上公開整合代理程式閘道 (/PSIGW/HttpListeningConnector) 和環境管理中樞 (/PSEMHUB/hub)。整合代理程式無法驗證未經驗證用戶端所提交的 XML 文件是否未參照內部或外部網路資源。

攻擊者可發佈特製的 XML 信封 (DOCTYPE 外部實體、EnvironmentManagement 訊息或 IBRequest SOAP 訊息),其「sourceURL」、「url」或「HubURL」元素指向攻擊者控制的 URL。整合代理程式可作為未經驗證的 SSRF Proxy:
 - 傳出:IB 會解析並擷取攻擊者控制的外部 URL,洩漏 DNS 查詢和潛在的雲端執行個體詮釋資料。
 - 傳入回送:當 SSRF 目標為 http://127.0.0.1:<port>/PSEMHUB/hub 時,IB 會將要求轉送至本機中樞。中樞會接受無需驗證的回送連線。已發佈的發惡意利用鏈結會在 'OPERATION' POST 參數中傳遞還原序列化的 Java 對象,以調用中樞操作 (FILECHUNKING、REGISTER_WITHOUT_PEERNAME、HANDLE_MESSAGE),並以 PeopleSoft 應用程序伺服器使用者的身份實現遠端程式碼執行。

Nessus 透過以下方式以非破壞性方式確認了 SSRF:
 1. 驗證 /PSEMHUB/hub 是否存在 (不會因內容 root 移除而緩解)。
 2. 將三個 XML 承載圖形傳送至 /PSIGW/HttpListeningConnector,並將 SSRF 目標設定為每次掃描的 DNS 回呼 URL。
 3. 偵測回呼主機名稱的傳出 DNS 解析,證明整合代理程式遵循攻擊者提供的 URL。

經修補或問題得到緩解的系統會傳回 /PSEMHUB/hub 的 HTTP 404 (已移除內容 root 目錄),或在取消參照 URL 之前拒絕 XML,期間不會觀察到 DNS 回呼。

解決方案

請參閱 Oracle 修補程式可用性文件:CPU187 和 CPU167。

另請參閱

http://www.nessus.org/u?47a22845

http://www.nessus.org/u?591b7005

Plugin 詳細資訊

嚴重性: Critical

ID: 321385

檔案名稱: oracle_peoplesoft_ssrf_cve_2026_35273.nbin

版本: 1.6

類型: Remote

系列: Misc.

已發布: 2026/6/17

已更新: 2026/6/22

支援的感應器: Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.4

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 8.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-35273

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:peoplesoft_enterprise_peopletools

可被惡意程式利用: true

可輕鬆利用: Exploits are available

由 Nessus 利用: true

修補程式發佈日期: 2026/6/11

弱點發布日期: 2026/6/11

CISA 已知遭惡意利用弱點到期日: 2026/6/15

參考資訊

CVE: CVE-2026-35273

IAVA: 2026-A-0596