📋 漏洞概述

Oracle PeopleSoft Enterprise PeopleTools 8.61/8.62 存在未授权远程代码执行漏洞，攻击者可通过HTTP完全接管系统，危害极高。

📋 基础信息

🔬 漏洞根因

PeopleTools 的 Updates Environment Management 组件在处理用户提供的序列化对象时未充分验证数据来源及类型，导致攻击者可以构造恶意序列化数据发送至相关HTTP端点。该组件默认监听网络端口，且未对请求来源进行身份校验，使得未授权攻击者能够直接向内部更新管理接口发送特制请求。推测底层可能使用了 Java 原生序列化机制，且未配置安全过滤白名单，允许攻击者触发任意类实例化并执行恶意代码。

🎯 攻击场景

1. 攻击者扫描发现目标 PeopleSoft 服务器开放的 HTTP 端口（通常为 8000/8443）。 2. 通过漏洞情报定位到 Updates Environment Management 组件的特定 HTTP 资源路径（如 /psp/ps/.../UPDATES_MGT）。 3. 构造包含恶意反序列化 payload 的 HTTP POST 请求，payload 利用 Commons Collections、Spring 或原生 Java 反序列化链。 4. 服务器反序列化 payload 后，在 PeopleTools 应用服务器上执行攻击者控制的 Java 代码。 5. 攻击者获得 websphere/tomcat 容器权限，进一步横向移动到数据库或 LDAP 目录，完成对 PeopleSoft 环境的完全接管。

💥 漏洞影响

攻击者可实现远程未授权代码执行，完全控制 PeopleSoft 应用服务器，窃取企业核心业务数据（HR、财务等）、篡改业务流程、植入后门长期驻留，并可能利用该服务器作为跳板攻击内网其它系统。由于 CVSS 评分为 9.8，影响机密性、完整性和可用性。

🛡️ 修复建议

1. 升级至 PeopleSoft Enterprise PeopleTools 8.63 或更安全的补丁版本（参考官方安全公告 2026年4月 CPU）。 2. 临时缓解措施：在网络边界处配置防火墙或 WAF，限制对 /psp/ps/.../UPDATES_MGT 路径的访问来源，仅允许内部管理 IP 访问。 3. 在 PeopleTools 配置文件中禁用 Java 反序列化功能或添加 RMI 过滤器（如 `oracle.peoplesoft.disableDeserialization=true`，推测参数名）。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-35273
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35273
• 原始来源（NVD-Latest）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-06-13 08:07 | 来源: NVD-Latest