リモートの Oracle PeopleSoft PeopleTools サーバーは、Integration Broker ゲートウェイ (「/PSIGW/HttpListeningConnector」) と Environment Management Hub (「/PSEMHUB/hub」) の両方を同じウェブ層で公開します。Integration Broker は、認証されていないクライアントによって送信された XML ドキュメントが、内部または外部のネットワークリソースを参照していないことを検証できません。

攻撃者は、「sourceURL」、「url」、または「HubURL」要素が攻撃者制御の URL を指すよう細工された XML エンベロープ (DOCTYPE 外部エンティティ、EnvironmentManagement メッセージ、または IBRequest SOAP メッセージ) を投稿します。Integration Broker は、認証されていない SSRF プロキシとして機能します。
  - アウトバウンド: IB は、攻撃者が制御する外部 URL を解決してフェッチし、DNS クエリとクラウドインスタンスメタデータを漏洩させます。
  - インバウンドループバック: SSRF ターゲットが http://127.0.0.1:<port>/PSEMHUB/hub の場合、IB は要求をローカルハブにリレーします。ハブは、認証なしでループバック接続を受け入れます。公開されたエクスプロイトチェーンは、逆シリアル化された Java オブジェクトを「OPERATION」POST パラメーターに渡して、ハブ操作 (FILECHUNKING、REGISTER_WITHOUT_PEERNAME、HANDLE_MESSAGE) を呼び出し、PeopleSoft アプリケーションサーバーユーザーとしてリモートコード実行を実現します。

Nessus は、以下を行うことにより、SSRF を非破壊的に確認しました。
  1. /PSEMHUB/hub が存在することを検証します (コンテキストルートの削除では軽減できません)。
  2. SSRF ターゲットをスキャンごとの DNS コールバック URL に設定して、3 つの XML ペイロードシェイプを /PSIGW/HttpListeningConnector に送信します。
  3. コールバックホスト名のアウトバウンド DNS 解決を検出し、Integration Broker が攻撃者の指定の URL に従っていたことを証明します。

パッチが適用された、または軽減されたシステムは、/PSEMHUB/hub に対して HTTP 404 を返すか (コンテキストルートを削除)、URL を逆参照する前に XML を拒否し、DNS コールバックは観測されません。

検出

Oracle PeopleSoft の認証されていない Java の逆シリアル化 SSRF / RCE (CVE-2026-35273)

critical Nessus プラグイン ID 321385

バージョン 1.6