CVE-2025-35055

Nome do Software Vulnerável e Versões Afetadas Versões do Newforma Info Exchange (NIX) anteriores à 2023.1

Descrição O Newforma Info Exchange (NIX) contém uma falha no endpoint da API /UserWeb/Common/UploadBlueimp.ashx que permite que um atacante autenticado faça upload de arquivos arbitrários para qualquer local gravável pela aplicação NIX. Isso pode levar à execução de um web shell ou outro conteúdo executável pelo servidor web, bem como à exclusão de diretórios. Em versões anteriores à 2023.1, o acesso anônimo está habilitado por padrão, permitindo que atacantes não autenticados explorem essa questão de upload de arquivo autenticando-se efetivamente como 'anonymous'. O parâmetro vulnerável não é especificado.

Recomendações Versões anteriores à 2023.1 devem ser atualizadas para a versão 2023.1 ou posterior.