漏洞描述
Avid NEXIS Agent 在默认安装配置下存在未授权任意文件读取漏洞。由于 filename 参数未对路径进行有效校验,攻击者可构造恶意路径读取服务器上的任意文件。该 Agent 默认以最高权限(Linux 下为 root,Windows 下为 NT_AUTHORITY\SYSTEM)运行,导致攻击者能够在无需身份认证的情况下获取系统敏感信息。该漏洞影响 Avid NEXIS E-series、F-series、PRO+ 以及 System Director Appliance(SDA+)在 2025.5.1 之前的所有版本。