甲骨文确认PeopleSoft漏洞已被利用于攻击全球100多个组织 补丁尚未发布

近日，甲骨文官方确认，其旗下人力与薪资管理服务PeopleSoft存在严重安全漏洞，且该漏洞已被用于针对全球100多个组织的攻击。甲骨文表示，这一漏洞可在无需密码等认证步骤的情况下通过互联网被利用。

漏洞特征：无需密码即可远程利用

根据甲骨文的通报，该漏洞无需任何密码或认证信息，攻击者即可通过互联网直接触发，大大降低了攻击门槛。目前甲骨文尚未公开修补补丁。

“这一漏洞可在无需密码等认证步骤的情况下通过互联网被利用。”

PeopleSoft产品定位与受影响范围

PeopleSoft是甲骨文旗下用于企业管理人力与薪资的核心服务模块，属于企业级软件。此次受影响的范围包括全球超过100个组织的实例，具体行业分布尚未披露。

临时缓解措施已发布

在补丁缺失的现状下，甲骨文已提醒客户尽快采取缓解措施，以降低被攻击风险。但官方未详细说明具体缓解手段，也未公布补丁预计发布时间。

• 漏洞无需密码验证即可远程利用
• 已被用于针对全球100多个组织的攻击
• 甲骨文尚未公开修补补丁，仅建议客户自行缓解

业内安全人士指出，此类无需认证的远程漏洞一旦被大面积利用，可能对企业内部数据造成直接威胁。用户需密切关注甲骨文的后续补丁公告。

甲骨文发布紧急安全通告：PeopleSoft漏洞遭黑客组织利用

据甲骨文发布的安全通报，该公司产品PeopleSoft中存在一个已被用于真实攻击的安全漏洞。该漏洞与黑客组织“ShinyHunters”在大规模攻击行动中利用的缺陷相同，该组织声称已入侵使用PeopleSoft服务器的100多家机构。

漏洞利用细节与影响范围

谷歌旗下安全团队Mandiant已确认该漏洞被用于真实攻击，并已通知100多个全球组织限制可能受影响的系统访问。当前，被警告的组织大部分位于美国，其中约三分之二为大学等高等教育机构。

甲骨文在公告中向客户建议：“该漏洞可在无需密码等认证程序的情况下通过互联网被远程利用，客户应尽快采取缓解措施。”

据披露，ShinyHunters已从其中一所受害学校获取了数十万条学生记录。泄露的数据包括学生姓名、地址、电话号码、电子邮件、出生日期、性别、民族、注册状态、学分以及专业等敏感信息。

行业背景：PeopleSoft的漏洞属性

PeopleSoft是甲骨文旗下的一款企业资源规划软件，常用于高校管理学生信息系统。此次漏洞的核心在于无需密码等认证程序即可被远程利用，这意味着攻击者无需提前获取账户凭据，便可绕过网络边界直接对服务器发起攻击，导致数据泄露风险显著上升。

受影响机构与应对建议

此次事件波及面较广，涉及全球100多家机构。甲骨文在通告中明确指出，客户应“尽快”采取缓解措施，以降低系统被远程攻击的风险。