Oracle PeopleSoft 高危 RCE 漏洞已遭在野利用

2026-06-17 10:53:37
我要分享


微信扫码分享

Oracle PeopleSoft Enterprise PeopleTools 曝出无需认证高危远程代码执行漏洞（CVE-2026-35273，CVSS 9.8），攻击者无需任何凭据，仅需通过网络向受影响系统构造特制 HTTP/HTTPS 请求，即可能实现远程代码执行，进而接管 PeopleSoft Enterprise PeopleTools，并造成敏感业务数据泄露、系统被篡改等风险。

利用前置条件：

攻击者能够通过网络访问目标 Oracle PeopleSoft Enterprise PeopleTools 的 HTTP/HTTPS 服务

目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节，建议用户立即升级。

漏洞影响范围

受影响的软件版本：

PeopleSoft Enterprise PeopleTools 8.61、8.62

修复建议

正式防护方案

官方已发布针对该漏洞的紧急安全更新，受影响用户应立即登录 Oracle 官方支持门户获取补丁：https://support.oracle.com/support/?documentId=CPU187

漏洞描述

近日，安全研究员披露了 PeopleSoft Enterprise PeopleTools 中存在的远程代码执行漏洞（CVE-2026-35273）。该漏洞源于系统中的环境管理组件（Updates Environment Management）对身份验证及特定请求校验存在缺陷。该漏洞在官方发布补丁前已被黑客组织在野利用。攻击者能够通过外部网络直接向相关端点发送恶意的 HTTP 请求，从而在未经身份验证的情况下接管受影响的 PeopleSoft Enterprise PeopleTools，进而导致关键的人力资源、财务、薪酬等敏感企业数据泄露。

漏洞复现

360漏洞研究院已成功复现 Oracle PeopleSoft 远程代码执行漏洞（CVE-2026-35273），通过向目标系统发送请求，在无需提供任何登录凭据的情况下，触发目标服务产生 DNSLog 回连请求。