Katalog CVE

CVE-2026-26221

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Hyland OnBase zawiera nieautoryzowane wystawienie .NET Remoting w usłudze OnBase Workflow Timer Service. Atakujący, który ma dostęp do usługi, może wysyłać spreparowane żądania .NET Remoting, co prowadzi do niebezpiecznego odczytu/zapisu plików.

Ocena ryzyka

Możliwość zdalnego wykonania kodu oraz narażenie na ataki związane z uwierzytelnianiem NTLM stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się zablokowanie dostępu do portu TCP/8900 oraz wdrożenie odpowiednich zabezpieczeń, aby uniemożliwić nieautoryzowany dostęp do usługi. Należy również monitorować i aktualizować system w celu eliminacji tej podatności.

Oryginalny opis (angielski, źródło NVD)

Hyland OnBase contains an unauthenticated .NET Remoting exposure in the OnBase Workflow Timer Service (Hyland.Core.Workflow.NTService.exe). An attacker who can reach the service can send crafted .NET Remoting requests to default HTTP channel endpoints on TCP/8900 (e.g., TimerServiceAPI.rem and TimerServiceEvents.rem for Workflow) to trigger unsafe object unmarshalling, enabling arbitrary file read/write. By writing attacker-controlled content into web-accessible locations or chaining with other OnBase features, this can lead to remote code execution. The same primitive can be abused by supplying a UNC path to coerce outbound NTLM authentication (SMB coercion) to an attacker-controlled host.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS