漏洞概述 漏洞标题: PACSGEAR PACS Scan - 未授权任意文件读写 + 通过 .NET Remoting 实现远程代码执行(RCE) 披露日期: 2026年1月7日 CVE ID: CVE-2026-58126 漏洞作者: Victor A. Morales 和 Jan A. Rodriguez (GM Sectec, Corp.) 厂商主页: Hyland 受影响版本: 5.2.1 描述: PACS Gear PACS Scan 在所有接口上暴露了一个 .NET Remoting 服务,该服务在端口 22222 上注册,由可执行文件 注册。通过修改 为 ,利用未编组技术发现的研究人员的代码-写入方法,可以实现对内部系统文件的任意读写。此外,通过自定义通道接收器强制连接到正确的宿主和端口,可以实现任意文件读取。此漏洞仅需知道有效的 ,默认情况下对所有实例开放,且不需要认证。 为了实现 RCE,观察到可执行文件 以 NT Authority\SYSTEM 身份运行,尝试加载多个缺失的动态链接库文件路径(例如 ),导致 DLL 劫持机会。结合 .NET Remoting AFR 原语,可以实现远程代码执行。 影响范围 受影响版本: 5.2.1 影响服务: PACS Gear PACS Scan 影响端口: 22222 影响权限: NT Authority\SYSTEM 修复方案 1. 重启服务: 需要重启受影响的 服务。 2. 系统重启: 可以重启系统或依赖服务故障触发的自动重启。 3. 低权限账户: 这些任务不能由低权限账户执行。 利用代码 自定义通道修复代码 PowerShell TCP 反向连接脚本 编译和链接命令 上传恶意 DLL 命令 总结 该漏洞允许攻击者通过未认证的 .NET Remoting 服务实现任意文件读写和远程代码执行。修复方案包括重启服务、系统重启或依赖服务故障触发的自动重启。利用代码包括自定义通道修复代码、PowerShell TCP 反向连接脚本以及编译和链接命令。