CRITICAL🇬🇧 English

CVE-2023-29075

Out-Of-Bounds Write w Autodesk AutoCAD przy parsowaniu pliku PRT

CVSS 9.8v3.1pub. 2023-11-23upd. 2024-11-21

Podatność typu Out-Of-Bounds Write (CWE-787) w Autodesk AutoCAD 2023 i 2024 pozwala atakującemu na wykonanie dowolnego kodu przez otwarcie złośliwie spreparowanego pliku PRT. Ze względu na brak wymagań uwierzytelnienia i interakcji użytkownika (poza otwarciem pliku) oraz krytyczny poziom CVSS 9.8, podatność stanowi poważne zagrożenie.

Pokaż oryginał (EN)

A maliciously crafted PRT file when parsed through Autodesk AutoCAD 2024 and 2023 can be used to cause an Out-Of-Bounds Write. A malicious actor can leverage this vulnerability to cause a crash, read sensitive data, or execute arbitrary code in the context of the current process.

🤖 Analiza AI
Jak działa

Podczas parsowania pliku PRT przez Autodesk AutoCAD dochodzi do zapisu danych poza granicami przydzielonego bufora pamięci (Out-Of-Bounds Write). Atakujący może dostarczyć ofierze złośliwie spreparowany plik PRT, którego otwarcie w podatnej wersji oprogramowania wyzwoli błąd zapisu pamięci. Nieprawidłowy zapis może zostać wykorzystany do przejęcia kontroli nad przepływem wykonania procesu i uruchomienia dowolnego kodu.

Skutki

Atakujący może doprowadzić do crash aplikacji (DoS), odczytu wrażliwych danych z pamięci procesu lub wykonania dowolnego kodu (RCE) w kontekście bieżącego procesu użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych dostępne są pod adresem https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018

Kogo dotyczy

Autodesk AutoCAD 2023 i 2024 oraz Autodesk AutoCAD Advance Steel (wersje wskazane w referencjach producenta — advisory ADSK-SA-2023-0018)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Autodesk Autocad

    APP
    Autodesk
    < 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Advance Steel

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Architecture

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Civil 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Electrical

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Lt

    APP
    Autodesk
    < 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Map 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Mechanical

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Mep

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Plant 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2023-29076CRITICAL9.8PL ✓ten sam produkt

Autodesk AutoCAD — uszkodzenie pamięci przy parsowaniu plików 3D (RCE)

CVE-2023-29073CRITICAL9.8PL ✓ten sam produkt

Heap-Based Buffer Overflow w Autodesk AutoCAD przy parsowaniu pliku MODEL

CVE-2023-29074CRITICAL9.8PL ✓ten sam produkt

Autodesk AutoCAD: Out-Of-Bounds Write przy parsowaniu pliku CATPART

CVE-2026-0874HIGH7.8ten sam produkt

A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...

CVE-2026-0875HIGH7.8ten sam produkt

A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...