⚛️Ars Technica•較早收集於 34m
PeopleSoft 零時差漏洞導致大規模數據外洩

💡關鍵企業軟體漏洞可能導致用於訓練或微調內部 AI 模型的專有數據外洩。
⚡ 30-Second TL;DR
有什麼變化
PeopleSoft 嚴重零時差漏洞遭利用
為什麼重要
依賴 PeopleSoft 進行企業資源規劃的組織面臨數據外洩的直接風險。此事件凸顯了舊有企業軟體基礎設施持續存在的安全威脅。
下一步行動
審查您的 PeopleSoft 部署日誌以檢查是否有未經授權的存取模式,並立即套用 Oracle 發布的最新安全修補程式。
誰應關注:Enterprise & Security Teams
關鍵要點
- •PeopleSoft 嚴重零時差漏洞遭利用
- •大規模數據外洩影響數百個組織
- •企業用戶需立即進行緊急安全評估
🧠 深度解析
Web-grounded analysis with 7 cited sources.
🔑 增強重點摘要
- •此零時差漏洞被識別為 CVE-2026-35273,是 PeopleSoft Enterprise PeopleTools 中的一個遠端程式碼執行錯誤,CVSS 評分為 9.8/10,被 Mandiant 追蹤為 UNC6240 的 ShinyHunters 勒索組織利用。
- •該漏洞位於「更新環境管理 (Updates Environment Management)」元件中,透過「環境管理中心 (Environment Management Hub, PSEMHUB)」可從網路存取,無需登入或使用者互動即可利用,影響 PeopleTools 8.61 和 8.62 版本,早期不受支援的版本也可能受影響。
- •攻擊者利用此漏洞透過 SSH 傳播,使用硬編碼的使用者名稱和密碼,並從受感染的系統竊取資料;諾丁漢大學是首批確認的受害者之一,約有 455,000 個電子郵件地址(包含姓名、地址、電話號碼、護照號碼及種族、殘疾詳情)被洩露。
- •Oracle 在 2026 年 6 月 10 日發布了此漏洞的諮詢報告,而美國網路安全和基礎設施安全局 (CISA) 則在 2026 年 6 月 12 日將 CVE-2026-35273 列入其已知被利用漏洞目錄。
- •大規模數據外洩事件,特別是涉及敏感個人身份資訊的事件,可能導致嚴重的身份盜竊、詐欺、聲譽損害、法律責任以及市場價值下降 2-3% 的財務影響,並可能面臨 GDPR 等法規的巨額罰款。
📊 競品分析▸ Show
| 產品/公司 | 主要市場/特點 | 市場份額 (HCM) | 主要競爭對手 |
|---|---|---|---|
| Oracle PeopleSoft | 企業資源規劃 (ERP),尤其在人力資本管理 (HCM)、財務管理、供應鏈管理方面具有優勢。 | 10.45% | Workday HCM, SAP HCM, UKG Pro, SAP S/4HANA, Oracle Cloud ERP, Microsoft Dynamics 365, Infor CloudSuite, Acumatica Cloud ERP |
| Workday HCM | 雲端原生人力資本管理 (HCM) 和財務管理,以靈活性和可擴展性著稱。 | 23.06% | Oracle PeopleSoft, SAP SuccessFactors HCM, UKG Pro |
| SAP HCM / S/4HANA | 領先的企業資源規劃 (ERP) 解決方案,涵蓋廣泛的業務功能,包括 HCM。 | 10.73% (SAP HCM) | Oracle PeopleSoft, Workday, Microsoft Dynamics 365 |
| UKG Pro | 雲端人力資本管理 (HCM) 和薪資解決方案。 | 7.86% | Oracle PeopleSoft, Workday HCM, ADP Workforce Now |
| Oracle Cloud ERP | Oracle 現代化的雲端 ERP 套件,提供 AI 自動化和即時分析功能。 | N/A (Oracle整體ERP市場份額高,但PeopleSoft是其舊有產品線) | SAP S/4HANA, Microsoft Dynamics 365, Infor CloudSuite |
| Microsoft Dynamics 365 | 整合了 ERP 和 CRM 功能的雲端業務應用程式,與 Microsoft 生態系統深度整合。 | N/A | SAP S/4HANA, Oracle Cloud ERP |
🛠️ 技術深入
- 漏洞識別碼 (CVE ID):CVE-2026-35273
- 漏洞類型:遠端程式碼執行 (Remote Code Execution, RCE) 漏洞
- 受影響元件:PeopleSoft Enterprise PeopleTools 的「更新環境管理 (Updates Environment Management)」元件,該元件位於「環境管理中心 (Environment Management Hub, PSEMHUB)」之後
- 漏洞性質:關鍵功能缺少身份驗證 (Missing Authentication for Critical Function),允許未經身份驗證的攻擊者取得 PeopleSoft Enterprise PeopleTools 的控制權
- 利用方式:攻擊者可透過 HTTP 網路存取利用此漏洞,無需登入或使用者互動
- 受影響版本:PeopleTools 8.61 和 8.62 版本,早期不受支援的版本也可能受影響
- 攻擊手法:攻擊者利用此漏洞後,透過 SSH 傳播惡意腳本,並使用硬編碼的使用者名稱和密碼對內部主機進行暴力破解,然後將資料壓縮並透過 SSH 連線外傳至洩露網站
- PeopleSoft 底層技術:PeopleSoft 系統使用多種底層技術堆疊,包括 WebLogic、Tuxedo 和 Oracle 資料庫等,這些技術的漏洞也可能影響 PeopleSoft 系統
🔮 前景展望AI analysis grounded in cited sources
企業將加強對傳統 ERP 系統的安全性審查。
像 PeopleSoft 這樣廣泛使用的成熟系統中出現高嚴重性零時差漏洞,突顯了與複雜、深度整合的企業軟體相關的持續風險,促使企業重新評估其傳統系統的防禦措施。
企業軟體供應鏈安全將受到更多關注。
勒索組織利用此漏洞並對數百個組織造成廣泛影響,強調了在整個軟體供應鏈中實施強大安全措施和快速修補機制的重要性。
加速向雲端原生 ERP 解決方案的轉移。
管理和修補像 PeopleSoft 這樣內部部署或自行管理的傳統 ERP 系統的複雜性,可能會加速企業轉向由供應商管理安全性的雲端基礎 ERP 替代方案。
⏳ 時間線
1987
PeopleSoft 公司成立
2003-06-06
Oracle 宣布惡意收購 PeopleSoft
2004-12-12
PeopleSoft 董事會接受 Oracle 的收購要約
2005-01
Oracle 完成對 PeopleSoft 的收購,PeopleSoft 成為 Oracle 的全資子公司
2017-10
PeopleSoft 繼承自 WebLogic Server 的 CVE-2017-10271 遠端程式碼執行漏洞被積極利用
2026-05-27
ShinyHunters 組織開始利用 PeopleSoft 零時差漏洞 (CVE-2026-35273) 進行攻擊
2026-06-10
Oracle 發布關於 CVE-2026-35273 零時差漏洞的諮詢報告
2026-06-12
CISA 將 CVE-2026-35273 列入已知被利用漏洞目錄
📎 來源 (7)
Factual claims are grounded in the sources below. Forward-looking analysis is AI-generated interpretation.
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: Ars Technica ↗
