Hyland OnBase w wersjach wcześniejszych niż 17.0.2.87 (możliwe, że dotyczy też innych wersji) jest podatny na nieuwierzytelnione zdalne wykonanie kodu (RCE) przez niebezpieczną deserializację na kanale .NET Remoting TCP. Podatność umożliwia atakującemu bez żadnego uwierzytelnienia przejęcie pełnej kontroli nad systemem z uprawnieniami NT AUTHORITY\SYSTEM.
▸ Pokaż oryginał (EN)
Hyland OnBase versions prior to 17.0.2.87 (other versions may be affected) are vulnerable to unauthenticated remote code execution via insecure deserialization on the .NET Remoting TCP channel. The service registers a listener on port 6031 with the URI endpoint TimerServer, implemented in Hyland.Core.Timers.dll. This endpoint deserializes untrusted input using the .NET BinaryFormatter, allowing attackers to execute arbitrary code under the context of NT AUTHORITY\SYSTEM.
Usługa rejestruje nasłuchiwacz na porcie TCP 6031 z punktem końcowym URI o nazwie TimerServer, zaimplementowanym w bibliotece Hyland.Core.Timers.dll. Punkt końcowy deserializuje niezaufane dane wejściowe przy użyciu klasy .NET BinaryFormatter, która jest podatna na wykonanie dowolnego kodu podczas procesu deserializacji. Atakujący może wysłać spreparowany payload bezpośrednio do tego portu bez konieczności posiadania jakichkolwiek poświadczeń, co prowadzi do wykonania kodu w kontekście NT AUTHORITY\SYSTEM.
Atakujący może wykonać dowolny kod z uprawnieniami NT AUTHORITY\SYSTEM, co oznacza pełne przejęcie kontroli nad serwerem, eksfiltrację danych, instalację backdoorów oraz możliwość lateral movement w sieci wewnętrznej.
Należy zaktualizować Hyland OnBase do wersji 17.0.2.87 lub nowszej (w tym Foundation 24.1 lub wyższej) zgodnie z biuletynem bezpieczeństwa producenta OB2025-02. Jako obejście tymczasowe zaleca się ograniczenie dostępu sieciowego do portu TCP 6031 wyłącznie do zaufanych hostów za pomocą firewall lub reguł segmentacji sieci.
Hyland OnBase w wersjach wcześniejszych niż 17.0.2.87; inne wersje produktu mogą być również podatne — dokładny zakres wskazany w referencjach producenta
W referencjach dostępny jest publiczny kod PoC (proof-of-concept) opublikowany na GitHub (gist autorstwa VAMorales). Pomimo braku wpisu w CISA KEV, dostępność publicznego exploitu znacząco zwiększa ryzyko aktywnego wykorzystania podatności.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X