Oracle PeopleSoft 未经身份验证的 Java 反序列化 SSRF / RCE (CVE-2026-35273)
critical Nessus 插件 ID 321385
语言:
简介
远程 Oracle PeopleSoft PeopleTools 服务器受到 Integration Broker 中未经身份验证的服务器端请求伪造 (SSRF) 漏洞的影响,可让攻击者将请求转发到本地 Environment Management Hub,并最终实现远程代码执行。描述
远程 Oracle PeopleSoft PeopleTools 服务器在同一 Web 层上同时暴露 Integration Broker 网关(“/PSIGW/HttpListeningConnector”)和 Environment Management Hub(“/PSEMHUB/hub”)。Integration Broker 无法验证未经身份验证的客户端提交的 XML 文档未引用内部或外部网络资源。攻击者发布构建的 XML 信封(DOCTYPE 外部实体、EnvironmentManagement 消息或 IBRequest SOAP 消息),其“sourceURL”、“url”或“HubURL”元素指向受攻击者控制的 URL。Integration Broker 充当未经身份验证的 SSRF 代理:
- 出站:IB 解析并提取攻击者控制的外部 URL,从而泄露 DNS 查询和可能的云实例元数据。
- 入站环回:当 SSRF 目标是 http://127.0.0.1:<port>/PSEMHUB/hub 时,IB 将请求中继到本地 Hub。Hub 接受未经身份验证的环回连接。已发布的漏洞利用链传递“OPERATION”POST 参数中的反序列化 Java 对象,以调用 Hub 操作(FILECHUNKING、REGISTER_WITHOUT_PEERNAME HANDLE_MESSAGE),并以 PeopleSoft 应用程序服务器用户的身份实现远程代码执行。
Nessus 通过以下方式以非破坏性方式确认 SSRF:
1. 验证 /PSEMHUB/hub 是否存在(上下文根删除未缓解)。
2. 将三种 XML 负载形状发送到 /PSIGW/HttpListeningConnector,并将 SSRF 目标设置为每次扫描用的 DNS 回调 URL。
3. 检测到回调主机名的出站 DNS 解析,这证明 Integration Broker 遵循攻击者提供的 URL。
已修补或缓解的系统要么返回 /PSEMHUB/hub 的 HTTP 404(上下文根已删除),要么在解引用 URL 之前拒绝 XML,并且未观察到 DNS 回调。
解决方案
请参阅 Oracle 修补程序可用性文档: CPU187 和 CPU167。另见
插件详情
严重性: Critical
ID: 321385
文件名: oracle_peoplesoft_ssrf_cve_2026_35273.nbin
版本: 1.6
类型: Remote
系列: Misc.
发布时间: 2026/6/17
最近更新时间: 2026/6/22
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.4
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2026-35273
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/a:oracle:peoplesoft_enterprise_peopletools
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
补丁发布日期: 2026/6/11
漏洞发布日期: 2026/6/11
CISA 已知可遭利用的漏洞到期日期: 2026/6/15
参考资料信息
CVE: CVE-2026-35273
IAVA: 2026-A-0596