PT-2025-41466 · Newforma · Newforma Project Center Server+1
Adam Merrill
+6
·
Publicado
2025-10-09
·
Atualizado
2026-01-09
·
CVE-2025-35050
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Newforma Info Exchange (versões afetadas não especificadas)
Descrição
O Newforma Info Exchange aceita dados .NET serializados via o endpoint da API
/remoteweb/remote.rem sem a devida validação. Isso permite que um atacante remoto não autenticado execute código arbitrário com privilégios de 'NT AUTHORITYNetworkService'. Um sistema Newforma Info Exchange comprometido pode ser usado para atacar um sistema Newforma Project Center Server associado. O endpoint vulnerável, /remoteweb/remote.rem, é utilizado pelo Newforma Project Center Server.Recomendações
Restrinja o acesso de rede ao endpoint
/remoteweb/remote.rem.Correção
RCE
Missing Authentication
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Newforma Info Exchange
Newforma Project Center Server