CRITICAL🇬🇧 English

CVE-2023-29076

Autodesk AutoCAD — uszkodzenie pamięci przy parsowaniu plików 3D (RCE)

CVSS 9.8v3.1pub. 2023-11-23upd. 2024-11-21

Podatność w Autodesk AutoCAD 2023 i 2024 umożliwia wykonanie złośliwego kodu poprzez otwarcie spreparowanego pliku MODEL, SLDASM, SAT lub CATPART. Błąd klasy memory corruption może prowadzić do przejęcia kontroli nad procesem aplikacji.

Pokaż oryginał (EN)

A maliciously crafted MODEL, SLDASM, SAT or CATPART file when parsed through Autodesk AutoCAD 2024 and 2023 could cause memory corruption vulnerability. This vulnerability, along with other vulnerabilities, could lead to code execution in the current process.

🤖 Analiza AI
Jak działa

Podczas parsowania złośliwie spreparowanego pliku w jednym z obsługiwanych formatów (MODEL, SLDASM, SAT, CATPART) dochodzi do nieprawidłowego zarządzania pamięcią (CWE-119 — buffer overflow/memory corruption). Błąd powoduje uszkodzenie struktury pamięci procesu, co w połączeniu z innymi podatnościami może zostać wykorzystane do wykonania dowolnego kodu w kontekście bieżącego procesu aplikacji. Atak nie wymaga uwierzytelnienia ani interakcji po stronie systemu poza otwarciem pliku przez użytkownika.

Skutki

Atakujący może doprowadzić do wykonania dowolnego kodu (RCE) w kontekście procesu AutoCAD, co potencjalnie skutkuje przejęciem kontroli nad systemem użytkownika, kradzieżą danych lub instalacją złośliwego oprogramowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018). Użytkownicy powinni unikać otwierania plików MODEL, SLDASM, SAT i CATPART pochodzących z niezaufanych źródeł do czasu zainstalowania aktualizacji.

Kogo dotyczy

Autodesk AutoCAD 2023 i 2024 oraz Autodesk AutoCAD Advance Steel (wersje wskazane w referencjach producenta)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Autodesk Autocad

    APP
    Autodesk
    < 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Advance Steel

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Architecture

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Civil 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Electrical

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Lt

    APP
    Autodesk
    < 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Map 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Mechanical

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Mep

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
  • Autodesk Autocad Plant 3d

    APP
    Autodesk
    < 2023.1.42024.0.0 – 2024.1.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-29075CRITICAL9.8PL ✓ten sam produkt

Out-Of-Bounds Write w Autodesk AutoCAD przy parsowaniu pliku PRT

CVE-2023-29073CRITICAL9.8PL ✓ten sam produkt

Heap-Based Buffer Overflow w Autodesk AutoCAD przy parsowaniu pliku MODEL

CVE-2023-29074CRITICAL9.8PL ✓ten sam produkt

Autodesk AutoCAD: Out-Of-Bounds Write przy parsowaniu pliku CATPART

CVE-2026-0874HIGH7.8ten sam produkt

A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...

CVE-2026-0875HIGH7.8ten sam produkt

A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...