### 关键漏洞信息 - **CVE ID**: CVE-2025-35050 - **发布日期**: 2025-10-09 - **更新日期**: 2025-10-09 - **标题**: Newforma Info Exchange (NIX) .NET Unauthorized Deserialization - **描述**: - Newforma Info Exchange (NIX) 接受通过 `/remoteweb/remote.rem` 端点的序列化 .NET 数据,允许远程、未认证的攻击者以 NT AUTHORITY/NetworkService 权限执行任意代码。 - 漏洞端点被 Newforma Project Center Server (NPCS) 使用,因此受攻击的 NIX 系统可用于攻击关联的 NPCS 系统。 - 缓解措施:限制对 `/remoteweb/remote.rem` 端点的网络访问,例如使用 IIS URL Rewrite 模块。 - **CWE**: - CWE-502: Deserialization of Untrusted Data - CWE-306: Missing Authentication for Critical Function - **CVSS**: - CVSS v4.0: 9.3 (Critical) - CVSS v3.1: 9.8 (Critical) - **受影响产品**: - Vendor: Newforma - Product: Project Center - Affected Versions: *.affected.txt * - **参考链接**: - projectcenter.help.newforma.com - learn.microsoft.com - raw.githubusercontent.com - cve.org