关键漏洞信息 CVE ID: CVE-2025-35055 发布日期: 2025-10-09 更新日期: 2025-10-09 标题: Newforma Info Exchange (NIX) Insecure File Upload 描述: - Newforma Info Exchange (NIX) 的 'User/Web/Common/UploadBlueimp.ashx' 允许经过身份验证的攻击者将任意文件上传到 NIX 应用程序可写入的任何位置。 - 攻击者可以上传并运行 web shell 或其他可由 web 服务器执行的内容。 - 攻击者还可以删除目录。 - 在 Newforma 2023.1 之前,默认启用匿名访问(CVE-2025-35062),允许未经过身份验证的攻击者以“anonymous”身份进行有效身份验证并利用此文件上传漏洞。 CWE: - CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') - CWE-434: Unrestricted Upload of File with Dangerous Type CVSS: - CVSS v3.1: 8.8 (高危) - CVSS v4.0: 8.7 (高危) 受影响产品: - 厂商: Newforma - 产品: Project Center - 版本: 受影响版本从 0 到 2023.1 之前 参考链接: - CVE.org - CVE.org - raw.githubusercontent.com