Oracle PeopleSoft 曝关键零日漏洞：ShinyHunters 已入侵 100+ 组织

2026年6月11日，Oracle 向企业客户发布安全公告，警告 PeopleSoft 人力资源与薪酬系统中存在关键级漏洞，且已被网络犯罪组织大规模利用。

漏洞性质

该缺陷可在互联网被远程利用，无需任何身份认证（如密码）即可攻击。Oracle 截至公告时尚未发布补丁，属于典型零日（Zero-day）场景。

攻击规模

ShinyHunters 组织声称已攻破 100 余家使用 PeopleSoft 的组织。Google 旗下 Mandiant 确认已向 100 多家全球机构发出预警，其中约三分之二位于美国高等教育领域，与黑客先前说法一致。

行业模式

ShinyHunters 长期针对共用同一套 SaaS/企业软件的客户发动「一洞多杀」_campaign，此前曾攻击 Salesforce、Gainsight、Instructure 等供应链。PeopleSoft 作为大型 ERP/HCM 组件，再次暴露集中式企业软件的连锁风险。

企业应对

在补丁发布前，应限制 PeopleSoft 公网暴露、加强 WAF 与访问日志监控，并评估 HR/薪酬数据的泄露与勒索风险。