今日科技快報：Oracle PeopleSoft 高危漏洞曝光，逾百家機構疑遭波及

前言

Oracle 在 2026 年 6 月 10 日釋出安全警報，揭露 PeopleSoft PeopleTools 的高危漏洞 CVE-2026-35273。根據 Oracle 官方說明，這個漏洞可在不需登入驗證的情況下被遠端利用，一旦成功，可能導致 Remote Code Execution（遠端程式碼執行）。

到了 2026 年 6 月 11 日，TechCrunch、BleepingComputer 與 Google Cloud 旗下 Mandiant 陸續指出，這個漏洞疑似已被駭客組織用於大規模攻擊，受影響對象可能超過 100 家機構，其中不少集中在教育領域。

Oracle（圖片来源：Shutterstock）

這次漏洞嚴重在哪裡

Oracle 官方安全公告指出，CVE-2026-35273 影響 PeopleSoft Enterprise PeopleTools 8.61 與 8.62，而且屬於可透過 HTTP 從網路直接攻擊的漏洞，CVSS v3.1 分數高達 9.8。這代表攻擊門檻低、風險高，尤其對外暴露的 PeopleSoft 環境更危險。

更值得注意的是，Oracle 當前公開說法重點放在「立即套用 mitigation」，而不是直接宣告完整修補已經全面到位。這也讓整起事件更像是企業 IT 團隊最不想遇到的情境：漏洞已經被利用，但多數組織還在爭分奪秒補洞。

為什麼這則新聞值得關注

PeopleSoft 並不是一般消費者天天會碰到的產品，但它背後承載的往往是企業和大學最核心的系統，例如人資、薪資、財務、採購與學生資料。也因為如此，這類漏洞的真正風險，不只是單一伺服器被打穿，而是可能連帶暴露大量高度敏感的個資與內部營運資料。

根據 Mandiant 在 2026 年 6 月 11 日的說法，他們已觀察到 2026 年 5 月 27 日到 6 月 9 日之間的活躍攻擊活動，並將其歸因於 UNC6240（ShinyHunters）。TechCrunch 也引述 Mandiant 表示，已通知超過 100 個全球組織，其中多數位於美國，且約三分之二屬於高等教育機構。

如果這個趨勢成立，這篇新聞的重要性就不只是「又一個 CVE 被公布」，而是企業級 ERP 與校務系統再次證明：只要是老牌、關鍵、難以快速升級的基礎系統，一旦出現零時差或近似零時差漏洞，影響往往會非常廣。

目前已知的事件輪廓

• Oracle 在 2026 年 6 月 10 日 發布 Security Alert，要求受影響客戶立即採取緩解措施。
• TechCrunch 在 2026 年 6 月 11 日 報導，Oracle 對企業客戶示警後，外部駭客組織宣稱已透過這個漏洞攻擊超過 100 個組織。
• BleepingComputer 進一步指出，攻擊者聲稱波及超過 100 家機構、約 300 個執行個體，並且多數目標集中在教育單位。
• Mandiant 則表示，已觀察到與該漏洞一致的實際攻擊活動，並提醒受影響組織應立即限制外部存取、套用 Oracle 提供的 mitigation，並檢查環境是否已有入侵跡象。

換句話說，這已經不是單純的「理論性漏洞」，而是帶有明顯實戰威脅的企業資安事件。

對企業與學校 IT 團隊的意義

這則新聞最值得延伸寫的角度，在於它再次突顯出一個老問題：很多關鍵系統不是沒人知道有風險，而是太重要、太舊、太深度整合，導致它們很難像雲端原生服務那樣快速修補。

對企業來說，這代表：

• 只要 PeopleSoft 相關管理介面仍暴露在外網，就要視為高優先級風險
• 除了套用 Oracle 緩解措施，也應同步檢查是否已有資料外洩或橫向移動跡象
• 若組織屬於教育、醫療或大型人資財務場景，影響面可能遠大於一般網站入侵

這也是為什麼 Oracle 這類新聞雖然沒有 AI 發表會那麼熱鬧，卻往往更值得企業決策者第一時間注意。

相關連結

• Oracle 官方 Security Alert：CVE-2026-35273
• Oracle Security Blog：Security Alert CVE-2026-35273 Released
• Google Cloud Blog：Mandiant 說明 ShinyHunters 對 PeopleSoft 的攻擊
• TechCrunch 報導
• TechCrunch 在 X 的貼文
• BleepingComputer 報導