リモートの Oracle PeopleSoft PeopleTools サーバーは、Integration Broker ゲートウェイ (「/PSIGW/HttpListeningConnector」) と Environment Management Hub (「/PSEMHUB/hub」) の両方を同じウェブ層で公開します。Integration Broker は、認証されていないクライアントによって送信された XML ドキュメントが、内部または外部のネットワークリソースを参照していないことを検証できません。

攻撃者は、「sourceURL」、「url」、または「HubURL」要素が攻撃者制御の URL を指すよう細工された XML エンベロープ (DOCTYPE 外部エンティティ、EnvironmentManagement メッセージ、または IBRequest SOAP メッセージ) を投稿します。Integration Broker は、認証されていない SSRF プロキシとして機能します。
  - アウトバウンド: IB は、攻撃者が制御する外部 URL を解決してフェッチし、DNS クエリとクラウドインスタンスメタデータを漏洩させます。
  - インバウンドループバック: SSRF ターゲットが http://127.0.0.1:<port>/PSEMHUB/hub の場合、IB は要求をローカルハブにリレーします。ハブは、認証なしでループバック接続を受け入れます。公開されたエクスプロイトチェーンは、逆シリアル化された Java オブジェクトを「OPERATION」POST パラメーターに渡して、ハブ操作 (FILECHUNKING、REGISTER_WITHOUT_PEERNAME、HANDLE_MESSAGE) を呼び出し、PeopleSoft アプリケーションサーバーユーザーとしてリモートコード実行を実現します。

Nessus は、以下を行うことにより、SSRF を非破壊的に確認しました。
  1. /PSEMHUB/hub が存在することを検証します (コンテキストルートの削除では軽減できません)。
  2. SSRF ターゲットをスキャンごとの DNS コールバック URL に設定して、3 つの XML ペイロードシェイプを /PSIGW/HttpListeningConnector に送信します。
  3. コールバックホスト名のアウトバウンド DNS 解決を検出し、Integration Broker が攻撃者の指定の URL に従っていたことを証明します。

パッチが適用された、または軽減されたシステムは、/PSEMHUB/hub に対して HTTP 404 を返すか (コンテキストルートを削除)、URL を逆参照する前に XML を拒否し、DNS コールバックは観測されません。

検出

Oracle PeopleSoft の認証されていない Java の逆シリアル化 SSRF / RCE (CVE-2026-35273)

critical Nessus プラグイン ID 321385

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.2

バージョン 1.1

バージョン 1.6 Jun 23, 2026, 12:13 AM Detection (update to eliminate false positives & improve testing webservers which redirect) Plugin Feed: 202606230013
バージョン 1.5 Jun 19, 2026, 10:00 PM Plugin metadata (Add IAVM Info) Plugin Feed: 202606192200
バージョン 1.4 Jun 19, 2026, 1:00 AM CISA reference Detection (improved logic to eliminate false positives & negatives) Plugin Feed: 202606190100
バージョン 1.2 Jun 18, 2026, 10:27 AM CVSS metrics ("CVSSv3 score" set to 9.8) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" set to "Exploits are available") Plugin Feed: 202606181027
バージョン 1.1 Jun 17, 2026, 9:08 PM New Plugin Feed: 202606172108