关键漏洞信息 CVE ID: CVE-2025-35050 发布日期: 2025-10-09 更新日期: 2025-10-09 标题: Newforma Info Exchange (NIX) .NET Unauthorized Deserialization 描述: - Newforma Info Exchange (NIX) 接受通过 端点的序列化 .NET 数据,允许远程、未认证的攻击者以 NT AUTHORITY/NetworkService 权限执行任意代码。 - 漏洞端点被 Newforma Project Center Server (NPCS) 使用,因此受攻击的 NIX 系统可用于攻击关联的 NPCS 系统。 - 缓解措施:限制对 端点的网络访问,例如使用 IIS URL Rewrite 模块。 CWE: - CWE-502: Deserialization of Untrusted Data - CWE-306: Missing Authentication for Critical Function CVSS: - CVSS v4.0: 9.3 (Critical) - CVSS v3.1: 9.8 (Critical) 受影响产品: - Vendor: Newforma - Product: Project Center - Affected Versions: .affected.txt 参考链接: - projectcenter.help.newforma.com - learn.microsoft.com - raw.githubusercontent.com - cve.org