CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26222

Critical
Published: Translated: NVD NIST

Summary

Altec DocLink w wersji 4.0.336.0, zarządzany obecnie przez Beyond Limits Inc., udostępnia niebezpieczne punkty końcowe .NET Remoting przez TCP i HTTP/SOAP. Usługa nie wymaga uwierzytelnienia i jest podatna na niebezpieczne deserializowanie obiektów, co pozwala atakującym na odczyt dowolnych plików z systemu.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do zdalnego wykonania kodu lub odmowy usługi poprzez nadpisywanie plików, co stwarza poważne zagrożenie dla integralności i dostępności systemu.

Recommendation

Zaleca się zabezpieczenie punktów końcowych poprzez wprowadzenie wymogu uwierzytelnienia oraz ograniczenie dostępu do wrażliwych lokalizacji plików. Należy również rozważyć aktualizację do najnowszej wersji oprogramowania, aby usunąć tę podatność.

Original NVD description (English source)

Altec DocLink (now maintained by Beyond Limits Inc.) version 4.0.336.0 exposes insecure .NET Remoting endpoints over TCP and HTTP/SOAP via Altec.RDCHostService.exe using the ObjectURI "doclinkServer.soap". The service does not require authentication and is vulnerable to unsafe object unmarshalling, allowing remote attackers to read arbitrary files from the underlying system by specifying local file paths. Additionally, attackers can coerce SMB authentication via UNC paths and write arbitrary files to server locations. Because writable paths may be web-accessible under IIS, this can result in unauthenticated remote code execution or denial of service through file overwrite.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS