漏洞概述 漏洞标题: PACSGEAR MediaWriter - 未授权的任意文件读取/写入 + 远程代码执行(RCE)通过 .NET Remoting 披露日期: 2026年1月7日 CVE ID: CVE-2026-58127 漏洞作者: Victor A. Morales 和 Jan A. Rodriguez (GM Sectec, Corp.) 厂商主页: https://www.hyland.com/en/solutions/products/pacsgear 已知受影响版本: 5.2.1 描述: PACSGear MediaWriter 在所有接口上暴露了一个 .NET Remoting 服务,该服务在端口 9000 上注册,由 DLL 文件 注册。通过修改 和 ,利用未授权的反序列化技术,可以实现对内部文件的读写。此漏洞无需认证即可访问。 为了实现远程代码执行(RCE),观察到 以 NT Authority\SYSTEM 身份运行,尝试加载多个缺失的动态链接库文件(如 、 )。当这些库缺失时,会导致 DLL 劫持机会,结合 .NET Remoting AFR 原语,可实现 RCE。 影响范围 受影响版本: 5.2.1 影响服务: PACSGear MediaWriter 影响端口: 9000 影响权限: NT Authority\SYSTEM 修复方案 1. 重启受影响的服务: 根据账户的权限级别,可以通过直接重启服务、重启系统或依赖自动重启触发来修复。 2. 防止低权限用户执行任务: 确保只有高权限用户才能执行相关任务。 3. 更新动态链接库: 确保所有必要的动态链接库文件存在,避免 DLL 劫持。 Proof-of-Concept (POC) 代码 Metasploit 生成恶意 DLL: 任意文件写入: 利用步骤: 1. 生成恶意 DLL。 2. 上传恶意 DLL 到远程服务器。 3. 重启受影响的服务,触发 RCE。