新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Oracle 企業軟體兩項重大漏洞遭利用,波及日產汽車員工資料外洩
2026 / 07 / 06
編輯部
Oracle 旗下多個企業軟體模組近期爆發重大資安事件,涉及 E-Business Suite 的付款處理模組與 PeopleSoft 人力資源系統,後者更已導致日產汽車(Nissan)現任與前任員工的敏感個人資料遭竊。
CVE-2026-46817:Oracle Payments 遭實際利用
威脅情報公司 Defused 近期警告,Oracle E-Business Suite(EBS)付款處理模組 Oracle Payments 的重大漏洞
CVE-2026-46817
已在 6 月底出現利用嘗試。
CVE-2026-46817 由不當權限管理、不當驗證,以及關鍵功能缺乏驗證等問題共同造成。Oracle 將其評定為易於利用的漏洞,未經驗證的攻擊者可透過 HTTP 進行遠端利用。
該漏洞影響 Oracle E-Business Suite 12.2.3 至 12.2.15 版本,修補程式已於 2026 年 5 月底發布
。
Defused 指出,其 EBS 誘捕系統於 6 月 27 日記錄到該漏洞首次實際被利用,距 Oracle 於 5 月發布修補程式約六週,且當時尚未出現任何公開的概念驗證(PoC)程式碼。
此次活動疑似由單一來源發起,針對 Payments 元件進行未經驗證的檔案讀取,屬於具針對性的 PoC 行為,而非大規模掃描。
攻擊目標為 Oracle Payments 檔案傳輸(File Transmission)元件中的 ibytransmit 端點;攻擊者直接呼叫 Oracle 內部 Java 函式並加以重定向,以讀取伺服器上的 /etc/passwd 檔案
。同樣手法也可能被用來存取更敏感的設定檔,例如包含資料庫憑證、加密金鑰或支付處理器 API 金鑰的檔案。
CVE-2026-35273:日產汽車因 PeopleSoft 零日漏洞遭針對性攻擊
日產汽車於 6 月 26 日發布外洩通知,指出現任與前任員工的敏感個人資料可能已遭竊,影響範圍涵蓋美國、加拿大、墨西哥與巴西的員工。外洩資料可能包含社會安全碼、國家身分識別號碼、銀行帳戶資訊、財務與稅務資料,以及眷屬或受益人資訊。
攻擊者據稱透過日產用於薪資與人力資源管理的 Oracle PeopleSoft 漏洞
CVE-2026-35273
取得入侵入口。該漏洞為重大遠端程式碼執行漏洞,並以零日形式遭到利用。日產表示,Oracle 已通知其一場影響數百家公司的網路事件,且日產被特別鎖定為攻擊目標;外洩發生時間為 5 月 27 日至 6 月 9 日。
這波更大規模的攻擊活動與
ShinyHunters
勒索組織有關。該組織聲稱已攻擊逾百個組織,受害者多為大學院校;日產則是目前已知規模較大的企業受害者之一。Oracle 於攻擊發生後才發布帶外安全公告與緩解措施。
資料安全公司 Certes 技術長 Simon Pamplin 形容此事件為「影響數百個無關聯組織的大規模傷亡事件」,並警告在漏洞利用時間窗口內已遭竊取的資料,即使事後修補漏洞也無法挽回。
防護建議
針對 CVE-2026-46817,管理員應立即套用 Oracle 於 2026 年 5 月發布的關鍵安全性修補更新。
在完成修補前,EBS 網頁介面應限制僅供內部網路存取,避免對外公開。資安團隊應將 5 月 28 日後仍未修補的任何對外 EBS 執行個體視為可能已遭入侵,並審查日誌中是否出現針對 /OA_HTML/ibytransmit 的可疑 POST 請求。若發現入侵跡象,應進行完整鑑識調查,並輪換該主機上儲存的所有憑證與金鑰。
針對 PeopleSoft 漏洞,日產提醒員工提高對釣魚攻擊的警覺、避免重複使用密碼,並啟用多重要素驗證(MFA)。日產也已限制薪資存取;員工須透過內部網路電腦或受安全保護的 VPN,才能查看薪資單或變更直接存款資訊。
本文轉載自 HelpNetSecurity、BleepingComputer。
遠端程式碼執行漏洞
PoC
最新活動
2026.07.22
2026 政府資安論壇
2026.07.08
AI工具應用資安風險評估管理
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
群暉科技 Synology 修補 MailPlus Server 三項重大漏洞,逾 2,100 台暴露於網路
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
PTC Windchill 遠端程式碼執行漏洞納入 KEV 目錄,攻擊者仍持續部署 Web Shell
資安人科技網
文章推薦
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
幻象域名搶註:LLM 幻覺催生新型供應鏈威脅
Microsoft 加速後量子密碼學部署時程,目標 2029 年完成關鍵產品移轉