Hyland OnBase contains an unauthenticated .NET Remoting exposure in the OnBase Workflow Timer Service (Hyland.Core.Workflow.NTService.exe). An attacker who can reach the service can send crafted .NET Remoting requests to default HTTP channel endpoints on TCP/8900 (e.g., TimerServiceAPI.rem and TimerServiceEvents.rem for Workflow) to trigger unsafe object unmarshalling, enabling arbitrary file read/write. By writing attacker-controlled content into web-accessible locations or chaining with other OnBase features, this can lead to remote code execution. The same primitive can be abused by supplying a UNC path to coerce outbound NTLM authentication (SMB coercion) to an attacker-controlled host.

Hyland OnBase contiene una exposición de .NET Remoting sin autenticación en el Servicio de Temporizador de Flujo de Trabajo de OnBase (Hyland.Core.Workflow.NTService.exe). Un atacante que puede alcanzar el servicio puede enviar solicitudes de .NET Remoting manipuladas a los puntos finales de canal HTTP predeterminados en TCP/8900 (p. ej., TimerServiceAPI.rem y TimerServiceEvents.rem para Flujo de Trabajo) para activar la deserialización insegura de objetos, lo que permite la lectura/escritura arbitraria de archivos. Al escribir contenido controlado por el atacante en ubicaciones accesibles por la web o encadenando con otras características de OnBase, esto puede llevar a la ejecución remota de código. La misma primitiva puede ser abusada al proporcionar una ruta UNC para forzar la autenticación NTLM saliente (coerción SMB) a un host controlado por el atacante.