Компонент службы печати периферийных устройств Fiserv Originate Loans (ранее Velocity Services) в неподдерживаемой версии 2021.2.4 (сборка 4.7.3155.0011) использует устаревшие TCP-каналы .NET Remoting, которые допускают небезопасную десериализацию ненадежных данных. Когда эти службы доступны в ненадежной сети при развертывании, управляемом клиентом, злоумышленник, не прошедший проверку подлинности, может добиться удаленного выполнения кода. Версия 2021.2.4 больше не поддерживается Fiserv.
Клиентам следует выполнить обновление до поддерживаемой в настоящее время версии (2025.1 или более поздней версии) и убедиться, что порты службы удаленного взаимодействия .NET не выходят за пределы доверенных границ сети. Этот CVE документирует поведение, наблюдаемое при развертывании на клиенте, на котором используется неподдерживаемая устаревшая версия периферийных устройств Originate Loans с портами удаленного взаимодействия .NET, доступными в ненадежную сеть. Это не конфигурация по умолчанию и не поддерживаемая конфигурация.
Клиентам, использующим устаревшие версии, следует выполнить обновление до поддерживаемой в настоящее время версии и убедиться, что порты .NET Remoting ограничены доверенными сегментами сети. Этот вывод не применим к средам, размещенным на Fiserv.
Показать оригинальное описание (EN)
The Print Service component of Fiserv Originate Loans Peripherals (formerly Velocity Services) in unsupported version 2021.2.4 (build 4.7.3155.0011) uses deprecated .NET Remoting TCP channels that allow unsafe deserialization of untrusted data. When these services are exposed to an untrusted network in a client-managed deployment, an unauthenticated attacker can achieve remote code execution. Version 2021.2.4 is no longer supported by Fiserv. Customers should upgrade to a currently supported release (2025.1 or later) and ensure that .NET Remoting service ports are not exposed beyond trusted network boundaries. This CVE documents behavior observed in a client-hosted deployment running an unsupported legacy version of Originate Loans Peripherals with .NET Remoting ports exposed to an untrusted network. This is not a default or supported configuration. Customers running legacy versions should upgrade to a currently supported release and ensure .NET Remoting ports are restricted to trusted network segments. The finding does not apply to Fiserv-hosted environments.
Характеристики атаки
Последствия
Строка CVSS v4.0