آسیبپذیری CVE-2026-26221 در Hyland OnBase با شدت 10 به دلیل ضعف امنیتی در OnBase Workflow Timer Service (Hyland.Core.Workflow.NTService.exe) ایجاد شده است. این سرویس از .NET Remoting استفاده میکند و مهاجم بدون احراز هویت میتواند درخواستهای ساختگی به نقاط پیشفرض HTTP روی پورت TCP/8900 ارسال کند. نقص موجود باعث خواندن و نوشتن دلخواه فایلها روی سرور میشود و در صورتی که محتوای مخرب در مسیرهای وبدسترسی قرار گیرد یا با ویژگیهای دیگر OnBase ترکیب شود، امکان اجرای کد از راه دور نیز فراهم میشود. علاوه بر این، مهاجم میتواند با استفاده از مسیرهای UNC، احراز هویت NTLM را به سمت میزبان کنترلشده هدایت کند (SMB coercion). این مشکل امنیتی خطر جدی برای سرورهای OnBase محسوب میشود و بهرهبرداری موفق از آن میتواند به تسلط کامل مهاجم بر سیستم منجر شود.
- Hyland OnBase
- بهویژه سرویس OnBase Workflow Timer Service (Hyland.Core.Workflow.NTService.exe)
- نسخههایی که از .NET Remoting با نقاط پیشفرض فعال روی TCP/8900 استفاده میکنند
- هر استقرار OnBase که Workflow Timer فعال دارد
- سامانههای متصل به این سرویس با دسترسی شبکهای به پورت 8900
- بهروزرسانی فوری OnBase به نسخهای که این ضعف در آن رفع شده (بر اساس Advisory رسمی Hyland).
- غیرفعال کردن یا محدود کردن دسترسی به سرویس Workflow Timer از شبکههای غیرقابلاعتماد.
- بستن پورت TCP/8900 در فایروال یا محدود کردن دسترسی به آن به آدرسهای مشخص.
- استفاده از فیلترهای لایه شبکه (Network Segmentation) برای جداسازی سرویسهای داخلی از اینترنت.
- بررسی و پالایش پیکربندی .NET Remoting برای غیرفعالسازی نقاط پیشفرض ناامن.
- چرخش اعتبارنامهها و توکنها در صورت بروز ممکن سوءاستفاده از مسیرهای UNC/NTLM coercion.
- فعالسازی سیستمهای تشخیص نفوذ (IDS/IPS) برای شناسایی تلاشهای سوءاستفاده از نقاط Remoting.
- نظارت مداوم لاگها برای تشخیص رفتار غیرمعمول در ارتباط با پورت و سرویسهای آسیبپذیر.
- 20