Przetworzenie złośliwie spreparowanego pliku CATPART w Autodesk AutoCAD 2023 i 2024 może doprowadzić do zapisu poza granicami bufora (Out-Of-Bounds Write). Podatność o krytycznym poziomie CVSS 9.8 umożliwia atakującemu zdalne wykonanie kodu bez jakiejkolwiek interakcji po stronie serwera.
▸ Pokaż oryginał (EN)
A maliciously crafted CATPART file when parsed through Autodesk AutoCAD 2024 and 2023 can be used to cause an Out-Of-Bounds Write. A malicious actor can leverage this vulnerability to cause a crash, read sensitive data, or execute arbitrary code in the context of the current process.
Podczas parsowania pliku CATPART aplikacja AutoCAD nie weryfikuje poprawnie granic zapisu do pamięci, co skutkuje błędem Out-Of-Bounds Write (CWE-787). Atakujący może dostarczyć ofierze specjalnie przygotowany plik CATPART, którego otwarcie w podatnej wersji oprogramowania wyzwala błąd zapisu poza alokowanym obszarem pamięci. Nieprawidłowy dostęp do pamięci może zostać wykorzystany do przejęcia kontroli nad przepływem wykonania procesu lub do odczytu wrażliwych danych z pamięci.
Atakujący może spowodować awarię aplikacji (DoS), odczytać wrażliwe dane z pamięci procesu lub wykonać dowolny kod (RCE) w kontekście procesu aktualnie zalogowanego użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w biuletynie bezpieczeństwa Autodesk: https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018
Autodesk AutoCAD 2023 i 2024 oraz Autodesk AutoCAD Advance Steel (wersje wskazane w referencjach producenta).
Podatność dotyczy plików formatu CATPART (CATIA). Wektor ataku obejmuje dostarczenie złośliwego pliku użytkownikowi, np. za pośrednictwem poczty e-mail lub fałszywej platformy do wymiany plików projektowych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAutodesk Autocad
APPAutodesk< 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)Autodesk Autocad Advance Steel
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Architecture
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Civil 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Electrical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Lt
APPAutodesk< 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)Autodesk Autocad Map 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mechanical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mep
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Plant 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)
Powiązane podatności
Autodesk AutoCAD — uszkodzenie pamięci przy parsowaniu plików 3D (RCE)
Heap-Based Buffer Overflow w Autodesk AutoCAD przy parsowaniu pliku MODEL
Out-Of-Bounds Write w Autodesk AutoCAD przy parsowaniu pliku PRT
A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...
A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...