Ejecución arbitraria de código en productos de Open Design Alliance

Fecha de publicación: 30/11/2021

Importancia:
Alta

Recursos afectados:

  • ODAViewer;
  • Drawings Explorer.

Descripción:
Los investigadores Tran Van Khang y Mat Powell han publicado en ZDI múltiples vulnerabilidades por las que un atacante podría realizar una ejecución arbitraria de código en las instalaciones afectadas.

Solución:

Open Design Alliance (ODA) ha publicado una actualización para corregir esta vulnerabilidad. Se pueden encontrar más detalles en ODA Security Advisories.

Detalle:

Es necesaria la interacción de un usuario, ya que este debe visitar una página maliciosa o abrir un archivo malicioso.

  • Los datos procesados en archivos U3D, TIF, DWF, JPG, DGN y DWFX pueden desencadenar una escritura fuera de los límites del búfer asignado. Se han asignado los identificadores CVE-2021-43279, CVE-2021-44046, CVE-2021-44048, CVE-2021-43280, CVE-2021-44044, CVE-2021-43390 y CVE-2021-44045 para estas vulnerabilidades.
  • La falta de validación de la existencia de un objeto antes de realizar operaciones con él. Se han asignado los identificadores CVE-2021-44047, CVE-2021-43280 y CVE-2021-43582 para estas vulnerabilidades.
  • La falta de validación adecuada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer basado en la pila (stack). Se ha asignado el identificador CVE-2021-43280 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.