远程 Oracle PeopleSoft PeopleTools 服务器在同一 Web 层上同时暴露 Integration Broker 网关（“/PSIGW/HttpListeningConnector”）和 Environment Management Hub（“/PSEMHUB/hub”）。Integration Broker 无法验证未经身份验证的客户端提交的 XML 文档未引用内部或外部网络资源。

攻击者发布构建的 XML 信封（DOCTYPE 外部实体、EnvironmentManagement 消息或 IBRequest SOAP 消息），其“sourceURL”、“url”或“HubURL”元素指向受攻击者控制的 URL。Integration Broker 充当未经身份验证的 SSRF 代理：
  - 出站：IB 解析并提取攻击者控制的外部 URL，从而泄露 DNS 查询和可能的云实例元数据。
  - 入站环回：当 SSRF 目标是 http://127.0.0.1:<port>/PSEMHUB/hub 时，IB 将请求中继到本地 Hub。Hub 接受未经身份验证的环回连接。已发布的漏洞利用链传递“OPERATION”POST 参数中的反序列化 Java 对象，以调用 Hub 操作（FILECHUNKING、REGISTER_WITHOUT_PEERNAME HANDLE_MESSAGE），并以 PeopleSoft 应用程序服务器用户的身份实现远程代码执行。

Nessus 通过以下方式以非破坏性方式确认 SSRF：
  1. 验证 /PSEMHUB/hub 是否存在（上下文根删除未缓解）。
  2. 将三种 XML 负载形状发送到 /PSIGW/HttpListeningConnector，并将 SSRF 目标设置为每次扫描用的 DNS 回调 URL。
  3. 检测到回调主机名的出站 DNS 解析，这证明 Integration Broker 遵循攻击者提供的 URL。

已修补或缓解的系统要么返回 /PSEMHUB/hub 的 HTTP 404（上下文根已删除），要么在解引用 URL 之前拒绝 XML，并且未观察到 DNS 回调。

检测

Oracle PeopleSoft 未经身份验证的 Java 反序列化 SSRF / RCE (CVE-2026-35273)

critical Nessus 插件 ID 321385

版本 1.1