NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2025-35051

概要	Newforma Project Center Server (NPCS) accepts serialized .NET data via the '/ProjectCenter.rem' endpoint on 9003/tcp, allowing a remote, unauthenticated attacker to execute arbitrary code with 'NT AUTHORITY\NetworkService' privileges. According to the recommended architecture, the vulnerable NPCS endpoint is only accessible on an internal network. To mitigate this vulnerability, restrict network access to NPCS.
公表日	2025年10月10日6:15
登録日	2026年4月27日12:07
最終更新日	2026年4月27日4:04

CVSS3.1 : CRITICAL
スコア	9.8
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:newforma:project_center:2024.3:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://projectcenter.help.newforma.com/overviews/info_exchange_overview/	9119a7d8-5eab-497f-8521-727c672e3725
2	https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-25-282-01.json	9119a7d8-5eab-497f-8521-727c672e3725
3	https://www.cve.org/CVERecord?id=CVE-2025-35051	9119a7d8-5eab-497f-8521-727c672e3725

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html
2	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html

JVN脆弱性情報

Newforma, Inc.のNewforma Project Centerにおける複数の脆弱性

タイトル	Newforma, Inc.のNewforma Project Centerにおける複数の脆弱性
概要	Newforma Project Center Server (NPCS)は、9003/tcpの '/ProjectCenter.rem' エンドポイント経由でシリアライズされた .NET データを受け入れています。このため、リモートの認証されていない攻撃者が「NT AUTHORITY\NetworkService」権限で任意のコードを実行できる可能性があります。推奨されるアーキテクチャでは、脆弱なNPCSエンドポイントには内部ネットワークからのみアクセスできます。この脆弱性の緩和策としては、NPCSへのネットワークアクセスを制限することが推奨されます。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2025年10月9日0:00
登録日	2026年1月13日18:42
最終更新日	2026年1月13日18:42

影響を受けるシステム

Newforma, Inc.

Newforma Project Center 2024.3

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-35051	https://www.cve.org/CVERecord?id=CVE-2025-35051
National Vulnerability Database (NVD)
2	CVE-2025-35051	https://nvd.nist.gov/vuln/detail/CVE-2025-35051

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-306	https://cwe.mitre.org/data/definitions/306.html
2	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	名前	URL
Raw
1	https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-25-282-01.json	https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-25-282-01.json

その他

No	名前	URL
関連文書
1	Newforma Info Exchange Overview (File Transfer) - Newforma Project Center Help	https://projectcenter.help.newforma.com/overviews/info_exchange_overview/

変更履歴

No	変更内容	変更日
1	[2026年01月13日] 掲載	2026年1月13日18:42