Plataforma
dotnet
Componente
newforma-info-exchange
Corregido en
2024.3.1
La vulnerabilidad CVE-2025-35050 es una falla de deserialización insegura presente en Newforma Info Exchange (NIX) hasta la versión 2024.3. Un atacante remoto no autenticado puede explotar esta falla para ejecutar código arbitrario con los privilegios de 'NT AUTHORITY\NetworkService'. Esta vulnerabilidad es particularmente preocupante porque un sistema NIX comprometido puede ser utilizado para atacar sistemas Newforma Project Center Server (NPCS) asociados, y la solución es actualizar a la versión 2024.3.1.
El impacto de esta vulnerabilidad es crítico. Un atacante puede aprovechar la deserialización insegura en el endpoint '/remoteweb/remote.rem' para ejecutar código malicioso en el servidor Newforma Info Exchange. Dado que el código se ejecuta con los privilegios de 'NT AUTHORITY\NetworkService', el atacante podría obtener acceso a datos sensibles, modificar la configuración del sistema, instalar malware o incluso comprometer otros sistemas conectados a la red, especialmente los sistemas Newforma Project Center Server (NPCS). La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier atacante con acceso a la red puede intentar la explotación. Esta vulnerabilidad comparte similitudes con otras explotaciones de deserialización que han permitido el control total del servidor.
CVE-2025-35050 fue publicado el 9 de octubre de 2025. La vulnerabilidad se considera de alta probabilidad de explotación debido a su CVSS de 9.8 y la falta de autenticación requerida. Actualmente no se han reportado campañas de explotación activas, pero la disponibilidad de la vulnerabilidad y su alta severidad la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas Newforma Info Exchange para detectar cualquier actividad sospechosa.
Organizations utilizing Newforma Info Exchange, particularly those with direct internet exposure to their NIX servers, are at significant risk. Environments with legacy configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple tenants share the same NIX instance also face increased risk, as a compromise of one tenant could potentially impact others.
• windows / dotnet:
Get-Process -Name NewformaInfoExchange | Select-Object -ExpandProperty Path• windows / dotnet: Check registry for suspicious deserialization-related entries under HKEYLOCALMACHINE\SOFTWARE\Newforma\InfoExchange.
• windows / dotnet: Monitor Windows Defender for alerts related to process creation or network connections involving NewformaInfoExchange.exe.
• generic web: Use curl to attempt accessing /remoteweb/remote.rem and observe the response. A successful request without authentication is indicative of the vulnerability.
curl -v http://<target_ip>/remoteweb/remote.remdisclosure
patch
Estado del Exploit
EPSS
0.35% (57% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-35050 es actualizar Newforma Info Exchange a la versión 2024.3.1 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso de red al endpoint '/remoteweb/remote.rem'. Esto se puede lograr utilizando el Módulo de Reescritura de URL de IIS (URL Rewrite Module) para bloquear el acceso a este endpoint desde fuentes externas. Además, se recomienda revisar y fortalecer las políticas de seguridad de red para limitar el acceso a los servidores Newforma. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el endpoint '/remoteweb/remote.rem' ya no acepta datos serializados no autenticados.
Restrinja el acceso de red al endpoint '/remoteweb/remote.rem'. Puede utilizar el módulo IIS URL Rewrite para implementar esta restricción. Consulte la documentación de Newforma y Microsoft para obtener instrucciones detalladas sobre cómo configurar el módulo IIS URL Rewrite.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-35050 is a critical vulnerability allowing remote code execution in Newforma Info Exchange versions ≤2024.3 via the '/remoteweb/remote.rem' endpoint, potentially impacting associated NPCS systems.
You are affected if you are running Newforma Info Exchange versions prior to 2024.3.1. Assess your environment immediately to determine if you are vulnerable.
Upgrade to Newforma Info Exchange version 2024.3.1 or later. As a temporary workaround, restrict network access to the '/remoteweb/remote.rem' endpoint using IIS URL Rewrite.
While no active exploitation has been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Newforma security advisory for detailed information and mitigation steps: [https://www.newforma.com/security-advisory-cve-2025-35050](https://www.newforma.com/security-advisory-cve-2025-35050)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.