CVE-2026-26221 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OnBase Workflow Timer Service 存在 **未经身份验证的 .NET Remoting** 暴露。 💥 **后果**：攻击者可发送特制请求触发 **不安全对象反序列化**，最终导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-502 (反序列化不受信任的数据)。 📍 **缺陷点**：Workflow Timer Service 组件未对 .NET Remoting 接口进行 **身份验证** 保护。

🏢 **厂商**：Hyland Software。 📦 **产品**：Hyland OnBase。 ⚙️ **组件**：OnBase Workflow Timer Service。

🔓 **权限**：无需认证 (PR:N)。 📂 **数据**：可实现 **任意文件读写**。 💻 **执行**：直接导致 **远程代码执行**，完全控制服务器。

📉 **门槛**：极低。 🔑 **认证**：**无需身份验证**。 🌐 **网络**：网络可达即可 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

🧪 **PoC**：有现成利用代码。 🔗 **链接**：GitHub 上已有公开 PoC (mbanyamer/CVE-2026-26221)。 ⚠️ **风险**：利用门槛低，**在野利用风险高**。

🔎 **检测**：扫描是否存在 **未认证的 .NET Remoting** 端口。 📡 **特征**：针对 OnBase Workflow Timer Service 发送特制 Remoting 请求，观察是否触发反序列化异常或回显。

🛡️ **官方动作**：Hyland 已发布安全更新公告 (OB2025-03)。 📝 **状态**：建议立即应用 **官方补丁** 或更新版本。

🚧 **临时规避**：若无法立即打补丁，需 **限制 Workflow Timer Service 的网络访问**。 🚫 **措施**：在防火墙中 **阻断** 对该组件 .NET Remoting 端口的 **外部访问**，仅允许内部可信 IP。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：9.8 (极高)。 ⚡ **建议**：由于 **无需认证** 且可 **直接 RCE**，建议 **立即修复**，优先于其他中高危漏洞。