Podatność typu Out-Of-Bounds Write (CWE-787) w Autodesk AutoCAD 2023 i 2024 pozwala atakującemu na wykonanie dowolnego kodu przez otwarcie złośliwie spreparowanego pliku PRT. Ze względu na brak wymagań uwierzytelnienia i interakcji użytkownika (poza otwarciem pliku) oraz krytyczny poziom CVSS 9.8, podatność stanowi poważne zagrożenie.
▸ Pokaż oryginał (EN)
A maliciously crafted PRT file when parsed through Autodesk AutoCAD 2024 and 2023 can be used to cause an Out-Of-Bounds Write. A malicious actor can leverage this vulnerability to cause a crash, read sensitive data, or execute arbitrary code in the context of the current process.
Podczas parsowania pliku PRT przez Autodesk AutoCAD dochodzi do zapisu danych poza granicami przydzielonego bufora pamięci (Out-Of-Bounds Write). Atakujący może dostarczyć ofierze złośliwie spreparowany plik PRT, którego otwarcie w podatnej wersji oprogramowania wyzwoli błąd zapisu pamięci. Nieprawidłowy zapis może zostać wykorzystany do przejęcia kontroli nad przepływem wykonania procesu i uruchomienia dowolnego kodu.
Atakujący może doprowadzić do crash aplikacji (DoS), odczytu wrażliwych danych z pamięci procesu lub wykonania dowolnego kodu (RCE) w kontekście bieżącego procesu użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych dostępne są pod adresem https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018
Autodesk AutoCAD 2023 i 2024 oraz Autodesk AutoCAD Advance Steel (wersje wskazane w referencjach producenta — advisory ADSK-SA-2023-0018)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAutodesk Autocad
APPAutodesk< 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)Autodesk Autocad Advance Steel
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Architecture
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Civil 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Electrical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Lt
APPAutodesk< 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)Autodesk Autocad Map 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mechanical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mep
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Plant 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)
Powiązane podatności
Autodesk AutoCAD — uszkodzenie pamięci przy parsowaniu plików 3D (RCE)
Heap-Based Buffer Overflow w Autodesk AutoCAD przy parsowaniu pliku MODEL
Autodesk AutoCAD: Out-Of-Bounds Write przy parsowaniu pliku CATPART
A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...
A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...