关键漏洞信息 CVE ID: CVE-2025-35053 发布日期: 2025-10-09 更新日期: 2025-10-09 CNA: Cybersecurity and Infrastructure Security Agency (CISA) U.S. Civilian Government 描述 Newforma Info Exchange (NIX) 接受对 的请求,指定 命令,允许经过身份验证的用户以 权限读取和删除任意文件。在 Newforma 2023.1 之前,默认启用匿名访问(CVE-2025-35062),允许未认证的攻击者有效认证为“anonymous”并利用此文件上传漏洞。 CWE CWE-22: 不当限制路径名到受限目录(路径遍历) CWE-73: 外部控制文件名或路径 CVSS 版本 3.1: 6.4 (中等) 版本 4.0: 6.1 (中等) 产品状态 供应商: Newforma 产品: Project Center 受影响版本: 默认状态未知,受影响于 * 致谢 Sharon Gudmunson, Luke Rindels, Robert McCain, Asjha Stus, Adam Merrill, Ryan Kao, Brian Healy, Sandia National Laboratories Adversarial Modeling and Penetration Testing (AMPT) 参考链接 CVE.org GitHub CVE.org