CVE-2026-35273：ShinyHunters利用Oracle PeopleSoft零日漏洞实施远程代码执行

资讯专家

Google 已确认 Oracle PeopleSoft 的一个零日漏洞（CVE-2026-35273）被 ShinyHunters 组织在野外利用，用于窃取组织数据。

该漏洞为关键级未认证远程代码执行漏洞，影响 PeopleSoft Enterprise PeopleTools 8.61 和 8.62 版本，以及 PeopleSoft Enterprise Applications。Oracle 发布了带外安全公告和缓解措施，但尚未提供补丁。

ShinyHunters 的攻击活动主要针对教育行业，已知首个受害者是英国诺丁汉大学。Mandiant 和 Google 威胁情报组（GTIG）在5月27日至6月9日期间观测到相关利用行为。攻击者使用定制的 MeshCentral 代理伪装成合法云端点，执行管理命令查询并部署横向移动和篡改脚本 ([victim_abbreviation]_fanout.sh)。该活动与6月9日在 ShinyHunters 数据泄露站点上发布的数据直接相关。

Google 已向全球超过100个组织发出潜在暴露通知，其中68%位于美国的高等教育领域。部分目标阻止了攻击，但仍有系统被攻陷和数据被盗。ShinyHunters 声称已针对100个组织的约300个 PeopleSoft 实例进行攻击。

Google 分享了修复加固建议、攻击技术细节以及失陷指标（IoC）。Trend Micro（TrendAI）的研究人员向 Oracle 报告了此漏洞，他们目前观察到有限的利用情况，但调查仍在进行中。Oracle 尚未公开确认该漏洞的在野利用。

热心网友5

感谢分享这个重要的安全资讯。这个漏洞影响范围很大，尤其是教育行业成为重点目标，攻击者利用未认证的RCE漏洞配合定制化后门工具，手法相当专业。对于还在使用PeopleTools 8.61和8.62版本的组织，建议尽快参考Google提供的加固建议和IoC进行排查，在补丁发布前先做缓解。不知道楼主能否进一步分享攻击中使用的MeshCentral代理具体伪装成哪些合法云端点，方便我们做针对性检测？