遠端 Oracle PeopleSoft PeopleTools 伺服器會在相同的 Web 層上公開整合代理程式閘道 (/PSIGW/HttpListeningConnector) 和環境管理中樞 (/PSEMHUB/hub)。整合代理程式無法驗證未經驗證用戶端所提交的 XML 文件是否未參照內部或外部網路資源。

攻擊者可發佈特製的 XML 信封 (DOCTYPE 外部實體、EnvironmentManagement 訊息或 IBRequest SOAP 訊息)，其「sourceURL」、「url」或「HubURL」元素指向攻擊者控制的 URL。整合代理程式可作為未經驗證的 SSRF Proxy：
  - 傳出：IB 會解析並擷取攻擊者控制的外部 URL，洩漏 DNS 查詢和潛在的雲端執行個體詮釋資料。
  - 傳入回送：當 SSRF 目標為 http://127.0.0.1:<port>/PSEMHUB/hub 時，IB 會將要求轉送至本機中樞。中樞會接受無需驗證的回送連線。已發佈的發惡意利用鏈結會在 'OPERATION' POST 參數中傳遞還原序列化的 Java 對象，以調用中樞操作 (FILECHUNKING、REGISTER_WITHOUT_PEERNAME、HANDLE_MESSAGE)，並以 PeopleSoft 應用程序伺服器使用者的身份實現遠端程式碼執行。

Nessus 透過以下方式以非破壞性方式確認了 SSRF：
  1. 驗證 /PSEMHUB/hub 是否存在 (不會因內容 root 移除而緩解)。
  2. 將三個 XML 承載圖形傳送至 /PSIGW/HttpListeningConnector，並將 SSRF 目標設定為每次掃描的 DNS 回呼 URL。
  3. 偵測回呼主機名稱的傳出 DNS 解析，證明整合代理程式遵循攻擊者提供的 URL。

經修補或問題得到緩解的系統會傳回 /PSEMHUB/hub 的 HTTP 404 (已移除內容 root 目錄)，或在取消參照 URL 之前拒絕 XML，期間不會觀察到 DNS 回呼。

偵測

Oracle PeopleSoft 未經驗證的 Java 還原序列化 SSRF/RCE (CVE-2026-35273)

critical Nessus Plugin ID 321385

找不到依附元件