BE-2022-0004: vulnerabilidades de lectura fuera de los límites permitidos al realizar el análisis sintáctico de archivos DGN en MicroStation y aplicaciones basadas en MicroStation
ID de Bentley: BE-2022-0004
ID de CVE: CVE-2021-46646, CVE-2022-28642, CVE-2022-28643, CVE-2022-28644, CVE-2022-28645
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Fecha de publicación: 04-05-2022
Fecha de revisión: 05-04-2022
Resumen
MicroStation y las aplicaciones basadas en MicroStation son afectados por vulnerabilidades fuera de los límites permitidos durante el análisis de archivos DGN cuando se abren archivos malintencionados. Explotar estas vulnerabilidades da lugar a la ejecución de códigos arbitrarios.
Detalles
Las siguientes vulnerabilidades relacionadas con esta asesoría las descubrió TrendMicro ZDI: ZDI-CAN-15532, ZDI-CAN-16424, ZDI-CAN-16468, ZDI-CAN-16469 y ZDI-CAN-16470. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DGN que contenga datos malintencionados puede forzar una lectura o escritura fuera de los límites permitidos. Explotar estas vulnerabilidades en el análisis de archivos DGN podría permitir a un atacante ejecutar un código arbitrario en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
| Bentley View | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos DGN que provengan de fuentes de confianza.
Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.
Historial de revisiones
| Fecha | Descripción |
| 04-05-2022 | Primera versión de este aviso |
