Podatność w Autodesk AutoCAD 2023 i 2024 umożliwia wykonanie złośliwego kodu poprzez otwarcie spreparowanego pliku MODEL, SLDASM, SAT lub CATPART. Błąd klasy memory corruption może prowadzić do przejęcia kontroli nad procesem aplikacji.
▸ Pokaż oryginał (EN)
A maliciously crafted MODEL, SLDASM, SAT or CATPART file when parsed through Autodesk AutoCAD 2024 and 2023 could cause memory corruption vulnerability. This vulnerability, along with other vulnerabilities, could lead to code execution in the current process.
Podczas parsowania złośliwie spreparowanego pliku w jednym z obsługiwanych formatów (MODEL, SLDASM, SAT, CATPART) dochodzi do nieprawidłowego zarządzania pamięcią (CWE-119 — buffer overflow/memory corruption). Błąd powoduje uszkodzenie struktury pamięci procesu, co w połączeniu z innymi podatnościami może zostać wykorzystane do wykonania dowolnego kodu w kontekście bieżącego procesu aplikacji. Atak nie wymaga uwierzytelnienia ani interakcji po stronie systemu poza otwarciem pliku przez użytkownika.
Atakujący może doprowadzić do wykonania dowolnego kodu (RCE) w kontekście procesu AutoCAD, co potencjalnie skutkuje przejęciem kontroli nad systemem użytkownika, kradzieżą danych lub instalacją złośliwego oprogramowania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0018). Użytkownicy powinni unikać otwierania plików MODEL, SLDASM, SAT i CATPART pochodzących z niezaufanych źródeł do czasu zainstalowania aktualizacji.
Autodesk AutoCAD 2023 i 2024 oraz Autodesk AutoCAD Advance Steel (wersje wskazane w referencjach producenta)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAutodesk Autocad
APPAutodesk< 2024.12023.0.0 – 2023.1.4 (bez)2024.0.0 – 2024.1.1 (bez)Autodesk Autocad Advance Steel
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Architecture
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Civil 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Electrical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Lt
APPAutodesk< 2023.1.4< 2024.12024.0.0 – 2024.1.1 (bez)Autodesk Autocad Map 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mechanical
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Mep
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)Autodesk Autocad Plant 3d
APPAutodesk< 2023.1.42024.0.0 – 2024.1.1 (bez)
Powiązane podatności
Out-Of-Bounds Write w Autodesk AutoCAD przy parsowaniu pliku PRT
Heap-Based Buffer Overflow w Autodesk AutoCAD przy parsowaniu pliku MODEL
Autodesk AutoCAD: Out-Of-Bounds Write przy parsowaniu pliku CATPART
A maliciously crafted CATPART file, when parsed through certain Autodesk products, can force an Out-of-Bounds ...
A maliciously crafted MODEL file, when parsed through certain Autodesk products, can force an Out-of-Bounds Wr...