CVE-2025-53050CVE-2025-53050是Oracle PeopleSoft Enterprise PeopleTools产品Performance Monitor组件中存在的一个高危拒绝服务(DoS)漏洞。该漏洞影响PeopleTools的8.60、8.61和8.62版本,属于Oracle 2025年10月关键补丁更新(CPU Oct 2025)中披露的安全问题之一。
该漏洞可被未经认证的远程攻击者通过网络(HTTP协议)轻易利用,攻击者无需任何用户交互即可发起攻击。成功利用此漏洞后,攻击者能够对PeopleSoft Enterprise PeopleTools系统发起拒绝服务攻击,导致系统挂起或频繁崩溃,造成完全的服务不可用状态。
根据CVSS 3.1评分标准,该漏洞基础评分为7.5分,属于高危级别。其攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需特权(PR:N),无需用户交互(UI:N)。在影响维度上,该漏洞对机密性无影响(C:N),对完整性无影响(I:N),但对可用性影响为高(A:H)。这意味着该漏洞的核心危害在于破坏系统的可用性,可能导致企业关键业务系统中断运行,对依赖PeopleSoft进行人力资源管理、财务管理等业务的企业造成严重的运营影响和经济损失。
PeopleSoft作为Oracle旗下的企业级应用套件,被全球众多大型企业广泛部署,因此该漏洞的影响范围可能涉及大量企业用户。Oracle已发布官方补丁修复此漏洞,建议受影响的用户尽快采取修复措施。
该漏洞存在于Oracle PeopleSoft Enterprise PeopleTools的Performance Monitor(性能监控器)组件中。Performance Monitor是PeopleTools中负责监控系统性能指标的核心组件,用于收集和分析应用服务器的运行状态信息。
漏洞的根本原因在于Performance Monitor组件在处理特定HTTP请求时缺乏充分的资源限制和异常处理机制。未经认证的远程攻击者可以通过构造恶意的HTTP请求发送到Performance Monitor的接口端点,触发组件内部的资源耗尽或异常状态。由于组件未能正确处理这些异常输入,可能导致以下后果:
1. 线程资源耗尽:恶意请求可能导致Performance Monitor创建大量处理线程,耗尽系统线程池资源;
2. 内存泄漏或溢出:异常的请求处理流程可能导致内存分配无法被正确释放;
3. 无限循环或死锁:某些特定的输入组合可能导致组件进入无限循环或死锁状态;
4. 关键服务崩溃:上述任何一种情况最终都可能导致Performance Monitor服务崩溃或挂起。
由于该漏洞利用条件极为简单——仅需网络访问权限,无需认证,无需用户交互——攻击者可以轻松地通过自动化脚本批量发起攻击,对目标系统造成持续性的拒绝服务效果。对于面向互联网部署的PeopleSoft系统,该漏洞尤其危险,攻击者可以随时发起攻击使整个系统瘫痪。