Podatność typu heap-based buffer overflow w Autodesk AutoCAD 2023 i 2024 pozwala atakującemu na wykonanie dowolnego kodu poprzez spreparowany plik MODEL. Ze względu na krytyczny wynik CVSS (9.8) i możliwość zdalnego wykonania kodu bez uwierzytelnienia, stanowi poważne zagrożenie dla użytkowników oprogramowania CAD.
▸ Pokaż oryginał (EN)
A maliciously crafted MODEL file when parsed through Autodesk AutoCAD 2024 and 2023 can be used to cause a Heap-Based Buffer Overflow. A malicious actor can leverage this vulnerability to cause a crash, read sensitive data, or execute arbitrary code in the context of the current process.
Błąd występuje podczas parsowania złośliwie spreparowanego pliku MODEL przez Autodesk AutoCAD. Nieprawidłowa obsługa danych wejściowych prowadzi do przepełnienia bufora na stercie (heap-based buffer overflow), co odpowiada wadom CWE-122 i CWE-787 (zapis poza granicami bufora). Atakujący może dostarczyć ofierze taki plik, np. za pośrednictwem poczty elektronicznej lub udostępnionego zasobu sieciowego, a samo otwarcie pliku w podatnej aplikacji wyzwala exploit.
Atakujący może doprowadzić do awarii aplikacji (DoS), odczytu wrażliwych danych z pamięci procesu lub wykonania dowolnego kodu (RCE) w kontekście aktualnie zalogowanego użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018. Zaleca się niezwłoczną aktualizację oprogramowania do wersji wskazanej przez Autodesk. Jako dodatkowy środek ostrożności należy zachować szczególną ostrożność przy otwieraniu plików MODEL pochodzących z niezaufanych źródeł.
Autodesk AutoCAD 2023, Autodesk AutoCAD 2024, Autodesk AutoCAD Advance Steel 2023, Autodesk AutoCAD Advance Steel 2024
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAutodesk Autocad
APPAutodesk< 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)Autodesk Autocad Advance Steel
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Architecture
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Civil 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Electrical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Lt
APPAutodesk< 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)Autodesk Autocad Map 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mechanical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mep
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Plant 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)
Powiązane podatności
Autodesk AutoCAD — uszkodzenie pamięci przy parsowaniu plików 3D (RCE)
Autodesk AutoCAD: Out-Of-Bounds Write przy parsowaniu pliku CATPART
Out-Of-Bounds Write w Autodesk AutoCAD przy parsowaniu pliku PRT
A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...
A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...