Security Advisory

dormakaba evolo Service Remote Code Execution

.NET Remoting erlaubt das Ausführen von beliebigem code

Advisory ID: MLSA-2026-001 (GCVE-111-MLSA-2026-001)
CVE: none
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Kritikalität: critical
Betroffene Versionen: <= 7.1.76.0
Behoben in: Keine
Gefunden von: Hans-Martin Münch

Produktbeschreibung

Von der evolo Manager Broschüre:

Mit der evolo Manager Zutrittssoftware profitiert Ihr Unternehmen von einer einfach zu programmierenden Zutrittskontrolllösung. Von einzelnen Türen bis zu allen Zugängen in Ihrem Gebäude, für Mitarbeitende, Besuchende oder Lieferfirmen – für innen und aussen.

Das erweiterbare Konzept des evolo Managers ermöglicht es Ihnen, das Zutrittssystem einfach an Ihre sich ändernden Bedürfnisse anzupassen und so nicht nur die Sicherheit Ihres Gebäudes, sondern auch den Schutz Ihrer Investition zu gewährleisten.

Details

dormakaba bietet einen Windows-Dienst namens „evolo service“. Dieser ist Teil des dormakaba evolo Managers, kann aber auch separat heruntergeladen und installiert werden. Der evolo Manager kommuniziert mit diesem Dienst über HTTP-basiertes .NET Remoting auf TCP-Port 8902.

Der evolo service verwendet die TypeLevel-Einstellung „Full“. Diese Konfiguration erlaubt es einem unauthentifizierten Angreifer, beliebigen Code über Deserialisierung auszuführen.

Workarounds

Einschränken des Zugriffs auf TCP-Port 8902 durch eine lokale Firewall-Regel.

Coordinated Disclosure Zeitverlauf

  • 01/10/2025 Versand des Schwachstellenreports
  • 01/10/2025 Bestätigung des dormakaba-Sicherheitsteams, dass es den Schwachstellenreport erhalten hat
  • 14/10/2025 Nachricht des dormakaba-Sicherheitsteams, dass es die Schwachstelle verifizieren konnte, Bitte um ein Online-Meeting
  • 14/10/2025 Antwort von MOGWAI LABS mit mehreren Terminvorschlägen für das Meeting
  • 08/01/2026 Nachricht von MOGWAI LABS, in der dormakaba darüber informiert wird, dass die 90-Tage-Frist abgelaufen ist und wir die Veröffentlichung eines Advisories planen
  • 08/01/2026 Antwort des dormakaba-Sicherheitsteams mit erneuter Anfrage für ein Online-Meeting
  • 14/01/2026 Meeting mit dormakaba, Vereinbarung eines weiteren Meetings bezüglich koordinierter Veröffentlichung
  • 25/03/2026 Finale Abklärung per Email durch dormakaba
  • 31/03/2026 Veröffentlichung des Advisories