CRITICAL🇬🇧 English

CVE-2023-29074

Autodesk AutoCAD: Out-Of-Bounds Write przy parsowaniu pliku CATPART

CVSS 9.8v3.1pub. 2023-11-23upd. 2024-11-21

Przetworzenie złośliwie spreparowanego pliku CATPART w Autodesk AutoCAD 2023 i 2024 może doprowadzić do zapisu poza granicami bufora (Out-Of-Bounds Write). Podatność o krytycznym poziomie CVSS 9.8 umożliwia atakującemu zdalne wykonanie kodu bez jakiejkolwiek interakcji po stronie serwera.

Pokaż oryginał (EN)

A maliciously crafted CATPART file when parsed through Autodesk AutoCAD 2024 and 2023 can be used to cause an Out-Of-Bounds Write. A malicious actor can leverage this vulnerability to cause a crash, read sensitive data, or execute arbitrary code in the context of the current process.

🤖 Analiza AI
Jak działa

Podczas parsowania pliku CATPART aplikacja AutoCAD nie weryfikuje poprawnie granic zapisu do pamięci, co skutkuje błędem Out-Of-Bounds Write (CWE-787). Atakujący może dostarczyć ofierze specjalnie przygotowany plik CATPART, którego otwarcie w podatnej wersji oprogramowania wyzwala błąd zapisu poza alokowanym obszarem pamięci. Nieprawidłowy dostęp do pamięci może zostać wykorzystany do przejęcia kontroli nad przepływem wykonania procesu lub do odczytu wrażliwych danych z pamięci.

Skutki

Atakujący może spowodować awarię aplikacji (DoS), odczytać wrażliwe dane z pamięci procesu lub wykonać dowolny kod (RCE) w kontekście procesu aktualnie zalogowanego użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w biuletynie bezpieczeństwa Autodesk: https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018

Kogo dotyczy

Autodesk AutoCAD 2023 i 2024 oraz Autodesk AutoCAD Advance Steel (wersje wskazane w referencjach producenta).

Uwagi

Podatność dotyczy plików formatu CATPART (CATIA). Wektor ataku obejmuje dostarczenie złośliwego pliku użytkownikowi, np. za pośrednictwem poczty e-mail lub fałszywej platformy do wymiany plików projektowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Autodesk Autocad

    APP
    Autodesk
    < 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Advance Steel

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Architecture

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Civil 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Electrical

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Lt

    APP
    Autodesk
    < 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Map 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Mechanical

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Mep

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Plant 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2023-29076CRITICAL9.8PL ✓ten sam produkt

Autodesk AutoCAD — uszkodzenie pamięci przy parsowaniu plików 3D (RCE)

CVE-2023-29073CRITICAL9.8PL ✓ten sam produkt

Heap-Based Buffer Overflow w Autodesk AutoCAD przy parsowaniu pliku MODEL

CVE-2023-29075CRITICAL9.8PL ✓ten sam produkt

Out-Of-Bounds Write w Autodesk AutoCAD przy parsowaniu pliku PRT

CVE-2026-0874HIGH7.8ten sam produkt

A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...

CVE-2026-0875HIGH7.8ten sam produkt

A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...