BE-2022-0002: 3DM File Parsing Uninitialized Variable in MicroStation and MicroStation-based applications
ID de Bentley: BE-2022-0002
ID de CVE: CVE-2022-28320, CVE-2022-28319
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Fecha de publicación: 05-04-2022
Fecha de revisión: 05-04-2022
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por el análisis de archivos de vulnerabilidades variables no iniciadas cuando se abren archivos 3DM maliciosos. Explotar estas vulnerabilidades lleva a la ejecución de código arbitrario.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-16282 y ZDI-CAN-16340. Usar una versión afectada de MicroStation o una aplicación basada en MicroStation para abrir un archivo 3DM que contenga datos maliciosos puede activar la ejecución de código arbitrario. La explotación de estas vulnerabilidades en el análisis de archivos 3DS podría permitir a un atacante ejecutar un código arbitrario en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
| Bentley View | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y las aplicaciones basadas en MicroStation. Como práctica recomendada general, también se aconseja abrir solo los archivos 3DM que provengan de fuentes de confianza.
Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.
Historial de revisiones
| Fecha | Descripción |
| 04-05-2022 | Primera versión de este aviso |
