検出

Oracle PeopleSoft の認証されていない Java の逆シリアル化 SSRF / RCE (CVE-2026-35273)

critical Nessus プラグイン ID 321385

Language:

概要

リモートの Oracle PeopleSoft PeopleTools サーバーは、Integration Broker の認証されていないサーバーサイドリクエストフォージェリ (SSRF) の脆弱性の影響を受けます。これにより、攻撃者がローカルの Environment Management Hub にリクエストをリレーし、最終的にリモートでコードを実行することが可能です。

説明

リモートの Oracle PeopleSoft PeopleTools サーバーは、Integration Broker ゲートウェイ (「/PSIGW/HttpListeningConnector」) と Environment Management Hub (「/PSEMHUB/hub」) の両方を同じウェブ層で公開します。Integration Broker は、認証されていないクライアントによって送信された XML ドキュメントが、内部または外部のネットワークリソースを参照していないことを検証できません。

攻撃者は、「sourceURL」、「url」、または「HubURL」要素が攻撃者制御の URL を指すよう細工された XML エンベロープ (DOCTYPE 外部エンティティ、EnvironmentManagement メッセージ、または IBRequest SOAP メッセージ) を投稿します。Integration Broker は、認証されていない SSRF プロキシとして機能します。
 - アウトバウンド: IB は、攻撃者が制御する外部 URL を解決してフェッチし、DNS クエリとクラウドインスタンスメタデータを漏洩させます。
 - インバウンドループバック: SSRF ターゲットが http://127.0.0.1:<port>/PSEMHUB/hub の場合、IB は要求をローカルハブにリレーします。ハブは、認証なしでループバック接続を受け入れます。公開されたエクスプロイトチェーンは、逆シリアル化された Java オブジェクトを「OPERATION」POST パラメーターに渡して、ハブ操作 (FILECHUNKING、REGISTER_WITHOUT_PEERNAME、HANDLE_MESSAGE) を呼び出し、PeopleSoft アプリケーションサーバーユーザーとしてリモートコード実行を実現します。

Nessus は、以下を行うことにより、SSRF を非破壊的に確認しました。
 1. /PSEMHUB/hub が存在することを検証します (コンテキストルートの削除では軽減できません)。
 2. SSRF ターゲットをスキャンごとの DNS コールバック URL に設定して、3 つの XML ペイロードシェイプを /PSIGW/HttpListeningConnector に送信します。
 3. コールバックホスト名のアウトバウンド DNS 解決を検出し、Integration Broker が攻撃者の指定の URL に従っていたことを証明します。

パッチが適用された、または軽減されたシステムは、/PSEMHUB/hub に対して HTTP 404 を返すか (コンテキストルートを削除)、URL を逆参照する前に XML を拒否し、DNS コールバックは観測されません。

ソリューション

Oracle パッチの可用性に関するドキュメント: CPU187 および CPU167 を参照してください。

参考資料

http://www.nessus.org/u?47a22845

http://www.nessus.org/u?591b7005

プラグインの詳細

深刻度: Critical

ID: 321385

ファイル名: oracle_peoplesoft_ssrf_cve_2026_35273.nbin

バージョン: 1.6

タイプ: Remote

ファミリー: Misc.

公開日: 2026/6/17

更新日: 2026/6/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-35273

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:peoplesoft_enterprise_peopletools

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

Nessus によりエクスプロイト済み: true

パッチ公開日: 2026/6/11

脆弱性公開日: 2026/6/11

CISA の既知の悪用された脆弱性の期限日: 2026/6/15

参照情報

CVE: CVE-2026-35273

IAVA: 2026-A-0596