Oracle PeopleSoft 高危 RCE 漏洞已遭在野利用
- 2026-06-17 10:53:37
Oracle PeopleSoft Enterprise PeopleTools 曝出无需认证高危远程代码执行漏洞(CVE-2026-35273,CVSS 9.8),攻击者无需任何凭据,仅需通过网络向受影响系统构造特制 HTTP/HTTPS 请求,即可能实现远程代码执行,进而接管 PeopleSoft Enterprise PeopleTools,并造成敏感业务数据泄露、系统被篡改等风险。
利用前置条件:
攻击者能够通过网络访问目标 Oracle PeopleSoft Enterprise PeopleTools 的 HTTP/HTTPS 服务
目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。
01
漏洞影响范围
受影响的软件版本:
PeopleSoft Enterprise PeopleTools 8.61、8.62
02
修复建议
正式防护方案
官方已发布针对该漏洞的紧急安全更新,受影响用户应立即登录 Oracle 官方支持门户获取补丁:https://support.oracle.com/support/?documentId=CPU187
03
漏洞描述
近日,安全研究员披露了 PeopleSoft Enterprise PeopleTools 中存在的远程代码执行漏洞(CVE-2026-35273)。该漏洞源于系统中的环境管理组件(Updates Environment Management)对身份验证及特定请求校验存在缺陷。该漏洞在官方发布补丁前已被黑客组织在野利用。攻击者能够通过外部网络直接向相关端点发送恶意的 HTTP 请求,从而在未经身份验证的情况下接管受影响的 PeopleSoft Enterprise PeopleTools,进而导致关键的人力资源、财务、薪酬等敏感企业数据泄露。
04
漏洞复现
360漏洞研究院已成功复现 Oracle PeopleSoft 远程代码执行漏洞(CVE-2026-35273),通过向目标系统发送请求,在无需提供任何登录凭据的情况下,触发目标服务产生 DNSLog 回连请求。
图1 发送 Payload
图2 查看 DNSLog
05
产品侧支持情况
360安全智能体:支持该漏洞攻击的智能分析。
360测绘云 Quake:默认支持该产品的指纹识别。
360高级持续性威胁预警系统:预计 2026年6月17日发布规则更新包,支持该漏洞利用行为的检测。
360资产与漏洞检测管理系统:预计 2026年6月17日发布规则更新包,支持该漏洞利用行为的检测。
本地安全大脑:默认支持该漏洞的PoC检测。
06
时间线
2026年6月16日,360漏洞研究院发布本安全风险通告。
07
参考链接
https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
08
更多漏洞情报
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
邮箱:360VRI@360.cn
网址:https://vi.loudongyun.360.net
360官网:www.360.cn
